Windows Policy Loophole, Bilgisayar Korsanlarının Kötü Amaçlı Sürücüler Kurmasına İzin Verdi

   Temmuz 13, 2023  Posted in GBHackers


Windows İlkesi Boşluğu

Microsoft, Çinli bilgisayar korsanları ve geliştiriciler tarafından tercih edilen kod imzalama sertifikalarını, Windows politika istismarı yoluyla kötü amaçlı çekirdek modu sürücüleri yüklemek için engelledi.

Windows çekirdek modu sürücüleri, Ring 0’da, aşağıdaki yetenekleri etkinleştirerek en üst düzeyde ayrıcalık sağlar: –

  • sinsi sebat
  • Tespit edilemeyen veri hırsızlığı
  • Evrensel işlem sonlandırma

Çekirdek modu sürücüsü, güvenliği ihlal edilmiş bir aygıttaki etkin güvenlik araçlarını bozabilir ve aşağıdaki yasa dışı etkinlikleri gerçekleştirebilir:-

  • Güvenlik araçlarının işlemlerini kesintiye uğratın
  • Güvenlik çözümlerinin gelişmiş koruma özelliklerini kapatın
  • Gizli kaçırma için hedeflenen yapılandırma değişiklikleri yapın

Cisco Talos’taki siber güvenlik araştırmacıları yakın zamanda bu sorunu Microsoft’a bildirdi ve şunları söyledi: –

“Aktörler, süresi dolmuş sertifikalarla imzalanmış kötü amaçlı ve doğrulanmamış sürücüleri yüklemek için çekirdek modu sürücülerinin imzalanma tarihini değiştiren çok sayıda açık kaynaklı araçtan yararlanıyor. Bu açık kaynak araçlarla birlikte kullanılan GitHub’da barındırılan bir PFX dosyasında yer alan anahtarlar ve parolalar içeren bir düzineden fazla kod imzalama sertifikası gözlemledik.”

Birisi hedeflenen sistemin merkezi kısmını ele geçirdiğinde, tüm sistem üzerinde sınırsız kontrole sahip olduğundan ve sonuçta tam bir sızmaya yol açtığından, bu önemli bir risktir.

Windows İlkesi Değişiklikleri

Windows Vista, çekirdek modu sürücülerinin işletim sistemine yüklenmesini sınırlayan ilke değişiklikleri getirdi. Microsoft tarafından yapılan bu değişiklik, Devs’in artık uyumluluk için sürücülerini Microsoft’un portalı aracılığıyla gözden geçirmesi ve imzalaması gerektiğine neden oldu.

Eski uygulama uyumluluğu için Microsoft, eski çekirdek modu sürücülerinin sürekli olarak yüklenmesini sağlayan istisnalar yaptı. Aşağıda, bu özel istisnalardan bahsettik: –

  • PC, Windows’un önceki bir sürümünden Windows 10, sürüm 1607’ye yükseltildi.
  • BIOS’ta Güvenli Önyükleme kapalıdır.
  • Sürücüler [sic] 29 Temmuz 2015’ten önce yayınlanan ve desteklenen bir çapraz imzalı CA’ya zincirlenen bir son varlık sertifikasıyla imzalanmıştır.
Windows çekirdek mimarisi (Kaynak – Cisco Talos)

Çinli tehdit aktörleri, üçüncü politikayı kullanarak kötü niyetli sürücülerin imzalanma tarihini 29 Temmuz 2015’ten önce manipüle etmek için aşağıdaki açık kaynaklı araçlardan yararlanır: –

  • HookSignAracı
  • FuckCertVerifyTimeValidity (FuckCertVerify olarak da bilinir)

Tehdit aktörleri, sürücü imzalama ve Windows’ta ayrıcalık yükseltme elde etmek için iptal edilmemiş eski ve sızdırılmış sertifikaları kullanmak için imzalama tarihlerini değiştirir.

Açık Kaynak Araçları Analizi

HookSign Aracı:

Operatörüne imzalama tarihini değiştirme yeteneği vermek için Windows API çengelleme ve el ile içe aktarma tablosu değişikliğini kullanan bir sürücü imza sahteciliği aracıdır.

Bu araç, “JemmyLoveJenny” 2019’da “52pojie[.]cn,” ve 2020’den beri GitHub’da mevcut. Bunun yanı sıra, HookSignTool ayrıca “kırmızı sürücükötü amaçlı bir sürücü ve tarayıcı korsanı.

Windows İlkesi Boşluğu
HookSignTool (Kaynak – Cisco Talos)

FuckCertVerifyTimeValidity:

Microsoft Detours paketini kullanan bu araç, “CertVerifyTimeValidity” API çağrısını durdurur ve istenen tarihe zaman damgasını ayarlar. “” eklenmesini gerektirirkenFuckCertVerifyTimeValidity.dll! testi” işlevi içe aktarma tablosunda.

Ancak, “den farklı olarakHookSignAracı,” imzalı ikili dosyalarda hiçbir iz bırakmaz ve algılamayı zorlaştırır. Bu araç, oyun hile yazılımı imzalamak için oluşturulmuş ve ilk olarak 13 Aralık 2018’de GitHub’da yayınlandı.

O zamandan beri kopyalandı, yüklendi ve farklı GitHub depolarına dağıtıldı.

FuckCertVerifyTimeValidity, Windows API’ye ekleniyor (Kaynak – Cisco Talos)

Bunun dışında, eşleşen özel anahtar ve parola ile birlikte, her iki araç tarafından 29 Temmuz 2015’ten önce verilmiş, iptal edilmemiş bir kod imzalama sertifikası gerekir.

Ayrılan sertifika (Kaynak – Cisco Talos)

GitHub depolarında ve Çin forumlarında Cisco araştırmacıları, bu araçların yararlanabileceği bir düzineden fazla sertifika keşfetti.

Aşağıdaki şeyler için yaygın olarak kullanılırlar: –

  • Oyun çatlakları
  • DRM kontrollerini atla
  • Kötü amaçlı çekirdek sürücüsü yürütme

öneriler

Aşağıda, Microsoft tarafından sağlanan tüm önerilerden bahsettik: –

  • En son Windows güncellemelerini yüklediğinizden emin olun.
  • Virüsten koruma ve uç nokta algılama ürünlerinizin mevcut en son imzalarla güncellendiğinden emin olun.
  • AV ve EDR araçlarını doğru şekilde yapılandırdığınızdan emin olun.
  • Optimum savunma kalkanları için AV ve EDR araçlarının tüm temel güvenlik özelliklerinin etkinleştirildiğinden emin olun.



Source link