Her yazılım ve işletim sistemi satıcısı ürünlerini korumak için güvenlik önlemleri uyguluyor. Bunun nedeni, tehdit aktörlerinin sıfır gün bulmak için çok zamana ihtiyaç duyması ancak savunmasız yazılımlar için kolayca erişilebilir bir istismar bulmak için daha az zamana ihtiyaç duymasıdır. Bu, onları en son sürümleri savunmasız sürümlere düşürmeleri gerektiği düşüncesine yöneltti.
Bunun bir örneği, Windows Önyükleme Yöneticisi’ni CVE-2022-21894’ün istismar edebileceği güvenlik açığı olan bir sürüme düşüren BlackLotus UEFI BootKit kötü amaçlı yazılımıdır.
Bu güvenlik açığı, tehdit aktörlerinin Güvenli Önyüklemeyi atlamasına olanak tanır. Tehdit aktörleri ayrıca işletim sistemi güvenlik mekanizmalarını devre dışı bırakabildi ve etkilenen sistemlere kalıcı erişimi koruyabildi.
Aslında, BlackLotus UEFI Bootkit, Güvenli Önyükleme etkinleştirilmiş tamamen yamalı ve güncel Windows 11 sistemlerinde çalışabiliyordu. Dahası, araştırmacılar bu saldırı yöntemini kullanıp ayrıcalık yükseltmesi elde edip güvenlik özelliklerini aşabildiler.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
Windows Sıfır Gün Sürüm Düşürme Saldırısı
Tüm araştırma aşamasını kısa keserek, araştırmacıların Windows Update sürecinin tam kontrolünü ele geçirmesine izin veren önemli bir kusur keşfedildi. Bu ayrıca, güncellemeleri düşürmek ve Bütünlük Doğrulaması ve Güvenilir Yükleyici Uygulaması dahil tüm doğrulama adımlarını atlatmak için kullanılabilen bir araç olan Windows Downdate’in oluşturulmasına da izin verdi.
Ek olarak, DLL’ler, sürücüler ve NT çekirdeği dahil olmak üzere Kritik İşletim Sistemi bileşenlerinin düşürülmesinin ardından, İşletim Sistemi tamamen güncellendiğini ve gelecekteki güncellemeleri yükleyemediğini bildirdi. Dahası, kurtarma ve tarama araçları İşletim Sistemindeki sorunları tespit edemedi.
Saldırıyı daha da tırmandıran araştırmacılar, Credential Guard’ın Yalıtılmış Kullanıcı Modu sürecini, Güvenli Çekirdeği ve Hyper-V’nin hipervizörünü başarılı bir şekilde düşürerek geçmişteki ayrıcalık yükseltme güvenlik açıklarını açığa çıkardılar.
Bu, UEFI kilitleriyle uygulandığında bile Kimlik Bilgisi Koruması ve Hipervizör Korumalı Kod Bütünlüğü (HVCI) dahil olmak üzere Windows sanallaştırma tabanlı Güvenliği (VBS) devre dışı bırakmanın birden fazla yolunun nihai keşfiyle genel bakışı sonlandırır.
Bu saldırının sonucu, daha önce düzeltilmiş binlerce güvenlik açığına karşı savunmasız olan, tamamen düzeltilmiş bir Windows makinesinin ortaya çıkması oldu; düzeltilen güvenlik açıkları sıfır günlere dönüştü ve İşletim Sistemi hala “tam düzeltilmiş” olduğunu düşünmeye devam etti.
Windows Update Mimarisi
Safebreach, Black Hat USA 2024’teki saldırının ayrıntılarını veriyor. Windows Belgelerine göre, Windows Update mimarisi bir güncelleme istemcisi ve bir güncelleme sunucusundan oluşuyor.
Güncelleme istemcisi genellikle Yönetici ayrıcalıklarıyla uygulanır ve Güvenilir Yükleyici her zaman sunucu tarafında uygulanır. Bu, Yöneticilerin ve NT SYSTEM’in bile güvenilir Yükleyici dışında sistem dosyalarını değiştiremeyeceği notunu sağlar.
Windows Update akışı aşağıdaki adımları gerçekleştirir:
- İlk olarak, istemci sunucudan güncelleme klasöründe bulunan güncellemeyi gerçekleştirmesini ister
- Sunucu güncelleme klasörünün bütünlüğünü doğrular
- Doğrulamadan sonra, sunucu güncelleme dosyalarını sonlandırmak için güncelleme klasöründe çalışır ve bu dosyalar sunucu tarafından kontrol edilen bir klasöre kaydedilir (istemci tarafından erişilemez)
- Sunucu, “pending.xml” adlı bir liste olan sunucu tarafından kontrol edilen klasöre bir eylem kaydeder ve bu, hangi dosyaların güncelleneceği, kaynak ve hedef dosyalar vb. dahil olmak üzere gerçekleştirilecek güncelleme eylemlerini içerir.
- Son olarak işletim sistemi yeniden başlatıldığında, işlem listesi üzerinde işlem yapılır ve yeniden başlatma sırasında güncelleme işlemleri gerçekleştirilir.
Klasör Araştırmasını Güncelle
Bu klasör güncelleme bileşenlerini içerir ve her güncelleme bileşeni MUM (Windows Update Paket dosyası), bildirim, diferansiyel ve katalog dosyalarını içerir. Dosyalar aşağıdaki gibi açıklanabilir:
- MUM dosyaları – Microsoft Update meta verilerine sahiptir ve meta veri bilgilerini, bileşen bağımlılıklarını, yükleme sırasını vb. içerir.
- manifest dosyaları – dosya yolları, kayıt defteri anahtarları, kurulumun bir parçası olarak hangi yükleyicilerin çalıştırılacağı ve daha fazlası gibi kuruluma özgü bilgileri içerir.
- diferansiyel dosyalar – bunlar temel dosyalardan gelen delta dosyalarıdır. Bir temel dosya artı bir delta dosyası tam güncelleme dosyasıyla sonuçlanır.
- katalog dosyaları – MUM ve manifesto dosyalarının dijital imzaları.
Yalnızca Katalog dosyalarının imzalandığını ve Manifest ve MUM’ların açıkça imzalanmadığını unutmayın. Ancak, Kataloglar tarafından imzalanırlar. Farklılık dosyaları imzalanmaz, ancak son güncelleme dosyası içeriğini kontrol ederler.
Daha detaylı araştırma sonucunda, kayıt defterindeki eylem listesi yolunun “adlı ilginç bir anahtarı olduğu görüldü.PoqexecKomutSatırı” listeyi ve liste yolunu ayrıştıran yürütülebilir dosyayı tutar. Ayrıca, Güvenilir Yükleyicinin bu anahtar üzerinde uygulanmadığı da keşfedildi. Bu, tüm güncelleme eylemlerini kontrol etmek için kullanılabilir.
Ek olarak, pending.xml dosyası dosya oluşturma, dosya silme, dosya taşıma, dosyaları sabit bağlama, kayıt defteri anahtarları ve değerleri oluşturma, anahtarları ve değerleri silme ve çok daha fazlasının işlevselliğini sağlar! Yamaları düşürmek için, dosya eyleminin hedefindeki kaynak değiştirilebilir.
Saldırı Metodolojisi
Araştırmayı özetlemek gerekirse, kötü amaçlı bir Trusted-installer yükseltmesine gerek yoktu. Saldırı aslında Windows güncelleştirmelerinin yardımıyla gerçekleştirildi çünkü üç eylem,
- Güvenilir Yükleyici hizmetini Otomatik Başlat olarak ayarlama,
- Kayıt defterine pending.xml yolunu ekleme ve
- Kayıt defterine eklenen pending.xml tanımlayıcısı Güvenilir Yükleyici’yi zorunlu kılmadı.
Saldırıya bir diğer ekleme ise saldırının meşru bir şekilde gerçekleşmesi ve tamamen tespit edilememiş olmasıdır. Sistemi güncellemek için yapılan bir eylem olduğundan, sistem “tamamen güncellenmiş” olarak gösterilir ki bu teknik olarak düşürülmüştür.
Kalıcılık, eylem listesi ayrıştırıcısı kullanılarak sağlandı poqexec.exe dijital olarak imzalanmamış dosya. Bu poqexec.exe dosyaya boş güncellemeler sağlanabilir, bu da yeni mevcut güncellemelerin kurulmasını sağlar.
Bu saldırının temel gerçeği, gerçekleştirilen eylemlerin geri alınamamasıdır. Bunun nedeni, onarım yardımcı programı SFC.exe’nin dijital olarak imzalanmamış olması ve ayrıca herhangi bir bozulmayı tespit etmeyecek sahte bir yama ile sağlanabilmesidir. Buna ek olarak, araştırmacılar ayrıca şunları da başardılar:
- Windows VBS’ye saldırın,
- VBS UEFI Kilidini Atlatın,
- Hedef Güvenli Modun Yalıtılmış Kullanıcı Modu İşlemleri,
- Hedef Güvenli Mod’un Çekirdeği ve
- Hedef Hyper-V’nin Hypervisor’ı
Microsoft, “Bu güvenlik açığını koordineli bir güvenlik açığı ifşası yoluyla belirleme ve sorumlu bir şekilde bildirme konusunda SafeBreach’in çalışmalarını takdir ediyoruz. Bu risklere karşı koruma sağlamak için etkin bir şekilde azaltma önlemleri geliştiriyoruz ve kapsamlı bir soruşturma, etkilenen tüm sürümlerde güncelleme geliştirme ve operasyonel kesintileri en aza indirerek maksimum müşteri koruması sağlamak için uyumluluk testi içeren kapsamlı bir süreci takip ediyoruz” ifadesini içeren resmi bir yanıtla birlikte CVE-2024-21302 ve CVE-2024-38202 yayınladı..”
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide