Siber güvenlik araştırmacıları, saldırganların sistemin özel karakter editörü aracında beklenmedik bir güvenlik açığından yararlanarak Windows Kullanıcı Hesap Kontrolü (UAC) korumalarını atlamalarına izin veren yeni bir teknik ortaya çıkardılar ve potansiyel olarak kullanıcı izni olmadan yetkisiz idari ayrıcalıklar veriyorlar.
Exploit, C: \ Windows \ System32’de bulunan Windows’un özel karakter düzenleyicisi Eudcedit.exe’yi hedefler, bu da genellikle özel kullanıcı tanımlı karakterler (EUDC) oluşturmak ve düzenlemek için kullanılır.
Güvenlik araştırmacıları, bu görünüşte zararsız bir uygulamanın, onu ayrıcalık yükseltme saldırılarına duyarlı hale getiren özel belirgin konfigürasyonlar içerdiğini keşfetti.
Güvenlik açığı, uygulamanın manifest meta verilerindeki iki kritik unsurdan kaynaklanmaktadır. İlk unsur,
İkinci bileşen,
Sömürü süreci
Saldırı metodolojisi şaşırtıcı derecede basittir ve minimum kullanıcı etkileşimi gerektirir. Saldırganlar önce özel karakter editörü arayüzünü açan Eudcedit.exe uygulamasını yürütür.
Sömürü süreci, “Dosya” menüsüne giderek ve mevcut seçeneklerden “Yazı Tipi Bağlantıları” seçerek devam eder.
Yazı tipi bağlantıları iletişim kutusunda, saldırganlar kullanılabilir ikinci seçeneği seçin ve “AS’yi kaydet” i tıklamaya devam edin. Bu kritik noktada, meşru bir dosya kaydetmek yerine, saldırgan sadece “PowerShell” i yazar.
Bu eylem, UAC bypass’ı tetikler ve PowerShell’i standart UAC güvenlik istemini tetiklemeden yüksek ayrıcalıklarla etkin bir şekilde başlatır.
Bu bypass tekniği, UAC’nin izinli ayarlarla yapılandırıldığı Windows ortamları için, özellikle yönetim kullanıcıları için “istemeden yükseltmeye” ayarlandığında önemli bir güvenlik endişesini temsil eder.
İstismar, yetkisiz ayrıcalık artışını önlemek için tasarlanmış Windows’un birincil güvenlik mekanizmalarından birini etkili bir şekilde atlatır.
Kullanıcı hesabı kontrolü başlangıçta Windows Vista’da, yüksek ayrıcalıklar gerektiren yetkisiz girişimlere karşı bekçi olarak hareket etmek için bir güvenlik özelliği olarak tanıtıldı.
Yazılım kurulumları veya sistem yapılandırma değişiklikleri gibi meşru yönetim işlemleri meydana geldiğinde, UAC genellikle devam etmeden önce kullanıcı etkileşimi gerektiren bir istemi görüntüler.
Kuruluşlar UAC politikalarını gözden geçirmeli ve uygun güvenlik yapılandırmalarının mevcut olmasını sağlamalıdır.
Sistem yöneticilerine, güvenilir uygulamalar için bile ayrıcalık artışı için açık kullanıcı onayı gerektiren daha katı UAC ayarları uygulamaları tavsiye edilir.
Ayrıca, izleme araçları, eudcedit.exe gibi sistem yardımcı programlarını içeren olağandışı yürütme modellerini tespit edecek şekilde yapılandırılmalıdır.
Bu keşif, sistem uygulamaları için kapsamlı güvenlik denetiminin devam eden önemini ve kurumsal ortamlarda aşırı izin veren UAC yapılandırmaları ile ilişkili potansiyel riskleri vurgulamaktadır.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir