Her yazılım ve işletim sistemi satıcısı ürünlerini korumak için güvenlik önlemleri uygulamaktadır.
Bunun nedeni, tehdit aktörlerinin sıfır-gün açığını bulmak için çok zamana ihtiyaç duymaları, ancak güvenlik açığı olan bir yazılım için kolayca erişilebilir bir istismarı bulmak için daha az zamana ihtiyaç duymalarıdır.
Bu onları, en son sürümleri savunmasız sürümlere düşürme fikrine götürdü.
Bunun bir örneği, Windows Önyükleme Yöneticisi’ni CVE-2022-21894 tarafından istismar edilebilecek güvenlik açığı olan bir sürüme düşüren BlackLotus UEFI BootKit kötü amaçlı yazılımıdır.
Bu güvenlik açığı, tehdit aktörlerinin Güvenli Önyüklemeyi atlamasına olanak tanır. Ayrıca, tehdit aktörleri işletim sistemi güvenlik mekanizmalarını devre dışı bırakabildi ve etkilenen sistemlerde kalıcı erişimi koruyabildi.
Aslında, BlackLotus UEFI Bootkit, Güvenli Önyükleme özelliği etkinleştirilmiş, tam olarak yamalı ve güncel Windows 11 sistemlerinde çalışabiliyordu.
Ayrıca araştırmacılar bu saldırı yöntemini kullanarak yetki yükseltme ve güvenlik özelliklerini aşmayı başardılar.
Genel bakış
Araştırmanın tüm aşamaları yarıda kesildiğinde, araştırmacıların Windows Update sürecini tamamen kontrol altına almalarına olanak tanıyan önemli bir hata keşfedildi.
Bu ayrıca, Bütünlük Doğrulaması ve Güvenilir Yükleyici Uygulaması da dahil olmak üzere tüm doğrulama adımlarını atlayarak güncelleştirmeleri düşürmek için kullanılabilen bir araç olan Windows Downdate’in oluşturulmasına da olanak sağladı.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Ayrıca DLL’ler, sürücüler ve NT çekirdeği de dahil olmak üzere Kritik İşletim Sistemi bileşenlerinin geri yüklenmesinin ardından işletim sisteminin tamamen güncellendiği ve gelecekteki güncellemelerin yüklenemeyeceği bildirildi.
Ayrıca kurtarma ve tarama araçları İşletim Sistemindeki sorunları tespit edemedi.
Saldırıyı daha da tırmandıran araştırmacılar, Credential Guard’ın Yalıtılmış Kullanıcı Modu sürecini, Güvenli Çekirdeği ve Hyper-V’nin hipervizörünü başarılı bir şekilde düşürerek geçmişteki ayrıcalık yükseltme güvenlik açıklarını açığa çıkardılar.
Windows sanallaştırma tabanlı Güvenlik’i (VBS) devre dışı bırakmanın birden fazla yolunun nihai keşfiyle genel bakışı sonlandırıyoruz; bunlar arasında Kimlik Bilgisi Koruması ve Hipervizör Korumalı Kod Bütünlüğü (HVCI) de yer alıyor; hatta UEFI kilitleriyle uygulandığında bile.
Bu saldırının sonucu, daha önce düzeltilmiş binlerce güvenlik açığına karşı savunmasız olan, tamamen düzeltilmiş bir Windows makinesinin ortaya çıkması oldu; düzeltilen güvenlik açıkları sıfır günlere dönüştü ve İşletim Sistemi hala “tam düzeltilmiş” olduğunu düşünmeye devam etti.
Windows Update Mimarisi
Cyber Security News ve Windows Documentation ile paylaşılan raporlara göre, Windows Update mimarisi bir güncelleme istemcisi ve bir güncelleme sunucusundan oluşuyor.
Güncelleme istemcisi genellikle Yönetici ayrıcalıklarıyla zorlanır ve Güvenilir Yükleyici her zaman sunucu tarafında zorlanır.
Bu, Yöneticilerin ve NT SYSTEM’in bile Güvenilir Yükleyici dışında sistem dosyalarını değiştiremeyeceği notunu sağlar.
Windows Update akışı aşağıdaki adımları gerçekleştirir:
- İlk olarak, istemci sunucudan güncelleme klasöründe bulunan güncellemeyi gerçekleştirmesini ister
- Sunucu güncelleme klasörünün bütünlüğünü doğrular
- Doğrulamadan sonra, sunucu güncelleme dosyalarını sonlandırmak için güncelleme klasöründe çalışır; bu dosyalar sunucu tarafından kontrol edilen bir klasöre kaydedilir (istemci tarafından erişilemez)
- Sunucu, “pending.xml” adlı bir liste olan sunucu tarafından kontrol edilen klasöre bir eylem kaydeder ve bu liste güncellenecek dosyalar, kaynak ve hedef dosyalar vb. dahil olmak üzere gerçekleştirilecek güncelleme eylemlerini içerir.
- Son olarak işletim sistemi yeniden başlatıldığında, işlem listesi üzerinde işlem yapılır ve yeniden başlatma sırasında güncelleme işlemleri gerçekleştirilir.
.webp)
Klasör Araştırmasını Güncelle
Bu klasör güncelleme bileşenlerini içerir ve her güncelleme bileşeni MUM (Windows Update Paket dosyası), bildirim, diferansiyel ve katalog dosyalarını içerir. Dosyalar aşağıdaki gibi açıklanabilir:
- MUM dosyaları – Microsoft Update meta verilerine sahiptir ve meta veri bilgilerini, bileşen bağımlılıklarını, kurulum sırasını vb. içerir.
- manifest dosyaları – dosya yolları, kayıt defteri anahtarları, kurulumun bir parçası olarak hangi yükleyicilerin çalıştırılacağı ve daha fazlası gibi kuruluma özgü bilgileri içerir.
- diferansiyel dosyalar – bunlar temel dosyalardan gelen delta dosyalarıdır. Bir temel dosya artı bir delta dosyası tam güncelleme dosyasıyla sonuçlanır.
- katalog dosyaları – MUM ve manifesto dosyalarının dijital imzaları.
Burada dikkat edilmesi gereken nokta sadece Katalog dosyalarının imzalandığı, Manifest ve MUM’ların açıkça imzalanmadığıdır.
Ancak, Kataloglar tarafından imzalanırlar. Diferansiyel dosyaları imzalanmaz ancak son güncelleme dosyası içeriğini kontrol ederler.
Daha detaylı araştırma yaptığımızda, kayıt defterindeki eylem listesi yolunun, listeyi ve liste yolunu ayrıştıran yürütülebilir dosyayı tutan “PoqexecCmdline” adında ilginç bir anahtara sahip olduğunu gördük.
Ayrıca, Güvenilir Yükleyicinin bu anahtar üzerinde uygulanmadığı da keşfedildi. Bu, tüm güncelleme eylemlerini kontrol etmek için kullanılabilir.
.webp)
Ek olarak, pending.xml dosyası dosya oluşturma, dosya silme, dosya taşıma, dosyaları sabit bağlama, kayıt defteri anahtarları ve değerleri oluşturma, anahtarları ve değerleri silme ve çok daha fazlasının işlevselliğini sağlar! Yamaları düşürmek için, dosya eyleminin hedefindeki kaynak değiştirilebilir.
Saldırı Metodolojisi
Araştırmayı özetlemek gerekirse, kötü amaçlı bir Trusted-installer yükseltmesine gerek yoktu. Saldırı aslında Windows güncelleştirmelerinin yardımıyla gerçekleştirildi çünkü bu üç eylem
1. Güvenilir Yükleyici hizmetini Otomatik Başlat olarak ayarlayın,
2. Kayıt defterine pending.xml yolunu ekleme ve
3. Kayıt defterine eklenen pending.xml tanımlayıcısı Güvenilir Yükleyici’yi zorunlu kılmamıştır.
.webp)
Saldırının meşru bir şekilde ve tamamen tespit edilemeyecek şekilde gerçekleşmiş olması da saldırıyı daha da vahim hale getiriyor.
Sistem güncelleme işlemi olduğu için sistem “tamamen güncellendi” olarak görünüyor, yani teknik olarak düşürülmüş durumda.
Kalıcılık, dijital olarak imzalanmamış eylem listesi ayrıştırıcısı poqexec.exe dosyası kullanılarak sağlandı.
Bu poqexec.exe dosyası, yeni mevcut güncellemeleri yükleyecek boş güncellemelerle birlikte sağlanabilir.
Bu saldırının asıl gerçeği yapılan eylemlerin geri döndürülemez olmasıdır.
Bunun nedeni, SFC.exe onarım yardımcı programının dijital olarak imzalanmamış olması ve herhangi bir bozulmayı tespit edemeyecek sahte bir yama ile desteklenebilmesidir.
Buna ek olarak, araştırmacılar ayrıca şunları da başardılar:
- Windows VBS’ye saldırın,
- VBS UEFI Kilidini Atlatın,
- Hedef Güvenli Modun Yalıtılmış Kullanıcı Modu İşlemleri,
- Hedef Güvenli Mod’un Çekirdeği ve
- Hedef Hyper-V’nin Hypervisor’ı
Microsoft, “SafeBreach’in koordineli bir güvenlik açığı ifşası yoluyla bu güvenlik açığını belirleme ve sorumlu bir şekilde bildirme çalışmalarını takdir ediyoruz. Bu risklere karşı koruma sağlamak için etkin bir şekilde azaltma önlemleri geliştiriyoruz ve kapsamlı bir soruşturma, etkilenen tüm sürümlerde güncelleme geliştirme ve uyumluluk testi içeren kapsamlı bir süreci takip ederek operasyonel kesintileri en aza indirerek maksimum müşteri koruması sağlıyoruz.” ifadesini içeren resmi bir yanıtla birlikte CVE-2024-21302 ve CVE-2024-38202 yayınladı.
Ayrıca saldırının tamamı Black Hat USA 2024’te sunuldu ve bir araştırma makalesi yayınlandı.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download