SafeBreach güvenlik araştırmacısı Alon Leviev, Black Hat 2024’te, iki sıfır günlük açığın, tamamen güncellenmiş Windows 10, Windows 11 ve Windows Server sistemlerindeki “yamaları kaldırmak” ve eski güvenlik açıklarını yeniden ortaya çıkarmak için düşürme saldırılarında kullanılabileceğini açıkladı.
Microsoft, Black Hat konuşmalarıyla eşgüdümlü olarak CVE-2024-38202 ve CVE-2024-21302 olarak izlenen iki yama uygulanmamış sıfır gün açığı için uyarılar yayınladı ve bir düzeltme yayınlanana kadar hafifletici tavsiyelerde bulundu.
Geri yükleme saldırılarında, tehdit aktörleri güncel bir hedef cihazı eski yazılım sürümlerine geri döndürmeye zorlar ve böylece sistemin tehlikeye atılması için kullanılabilecek güvenlik açıklarını yeniden ortaya çıkarır.
SafeBreach güvenlik araştırmacısı Alon Leviev, dinamik bağlantı kitaplıkları (DLL’ler) ve NT Kernel dahil olmak üzere kritik işletim sistemi bileşenlerini düşürmek için Windows güncelleme işleminin tehlikeye atılabileceğini keşfetti. Tüm bu bileşenler artık güncel olmasa da, Windows Update ile kontrol edildiğinde, işletim sisteminin tamamen güncellendiği ve kurtarma ve tarama araçlarının herhangi bir sorun tespit edemediği bildirildi.
Sıfırıncı gün açıklarından yararlanarak, Credential Guard’ın Güvenli Çekirdeği ve Yalıtılmış Kullanıcı Modu Süreci ile Hyper-V’nin hipervizörünü de düşürerek geçmişteki ayrıcalık yükseltme açıklarını açığa çıkarabilir.
“Windows sanallaştırma tabanlı güvenliğini (VBS), Credential Guard ve Hypervisor-Protected Code integrity (HVCI) gibi özellikleri de dahil olmak üzere, UEFI kilitleriyle uygulandığında bile devre dışı bırakmanın birden fazla yolunu keşfettim. Bildiğim kadarıyla, bu, VBS’nin UEFI kilitlerinin fiziksel erişim olmadan atlatıldığı ilk sefer,” diye açıkladı Leviev.
“Sonuç olarak, tamamen yamalı bir Windows makinesini binlerce geçmiş güvenlik açığına karşı savunmasız hale getirebildim; düzeltilen güvenlik açıklarını sıfır günlere dönüştürdüm ve dünyadaki herhangi bir Windows makinesinde “tam yamalı” terimini anlamsız hale getirdim.”
Leviev’in de belirttiği gibi, bu düşürme saldırısı tespit edilemiyor çünkü uç nokta algılama ve yanıt (EDR) çözümleri tarafından engellenemiyor ve ayrıca Windows Update’in bir cihazın tamamen güncellendiğini (düşürülmüş olmasına rağmen) bildirmesi nedeniyle de görünmez oluyor.
Altı aydan sonra yama yok
Leviev, Şubat ayında koordineli ve sorumlu bir ifşa süreci kapsamında Microsoft’a güvenlik açıklarını bildirmesinden altı ay sonra “Windows Downdate” adlı sürüm düşürme saldırısını duyurdu.
Microsoft, Leviev’in ayrıcalıkları yükseltmek, kötü amaçlı güncelleştirmeler oluşturmak ve Windows sistem dosyalarını eski sürümlerle değiştirerek güvenlik açıklarını yeniden oluşturmak için kullandığı Windows Update Stack Yükseltme Ayrıcalık (CVE-2024-38202) ve Windows Güvenli Çekirdek Modu Yükseltme Ayrıcalık (CVE-2024-21302) güvenlik açıklarına yönelik bir düzeltme üzerinde çalıştığını bugün duyurdu.
Şirketin açıkladığı gibi, CVE-2024-38202 Windows Yedekleme ayrıcalık yükseltme güvenlik açığı, temel kullanıcı ayrıcalıklarına sahip saldırganların daha önce hafifletilmiş güvenlik hatalarını “yama kaldırmasına” veya Sanallaştırma Tabanlı Güvenlik (VBS) özelliklerini atlamasına olanak tanır. Yönetici ayrıcalıklarına sahip saldırganlar, Windows sistem dosyalarını güncel olmayan ve güvenlik açığı olan sürümlerle değiştirmek için CVE-2024-21302 ayrıcalık yükseltme açığını kullanabilir.
Microsoft, şu anda bu güvenlik açığını istismar etmeye yönelik herhangi bir girişimden haberdar olmadıklarını belirterek, güvenlik güncelleştirmesi yayımlanana kadar istismar riskini azaltmaya yardımcı olmak için bugün yayınlanan iki güvenlik duyurusunda paylaşılan önerilerin uygulanmasını tavsiye etti.
Leviev, “Tamamen yamalanmış bir Windows makinesinin geçmişteki binlerce güvenlik açığına karşı nasıl savunmasız hale getirilebileceğini, düzeltilen güvenlik açıklarının sıfır günlere nasıl dönüştürülebileceğini ve dünyadaki herhangi bir Windows makinesinde ‘tam yamalanmış’ teriminin nasıl anlamsız hale getirilebileceğini gösterebildim” dedi.
“Bu etkilerin yalnızca dünyanın en yaygın kullanılan masaüstü işletim sistemi olan Microsoft Windows için değil, aynı zamanda potansiyel olarak sürüm düşürme saldırılarına maruz kalabilecek diğer işletim sistemi satıcıları için de önemli olduğuna inanıyoruz.”
07 Ağustos 17:27 EDT güncellemesi: Haberin yayımlanmasının ardından Microsoft sözcüsü şu açıklamayı yaptı.
SafeBreach’in koordineli bir güvenlik açığı ifşası aracılığıyla bu güvenlik açığını belirleme ve sorumlu bir şekilde raporlama çalışmalarını takdir ediyoruz. Kapsamlı bir soruşturma, etkilenen tüm sürümlerde güncelleme geliştirme ve uyumluluk testi içeren kapsamlı bir süreci takip ederken bu risklere karşı koruma sağlamak için etkin bir şekilde azaltma önlemleri geliştiriyoruz ve operasyonel kesintileri en aza indirerek maksimum müşteri korumasını sağlıyoruz.
Microsoft ayrıca BleepingComputer’a saldırıyı hafifletmek için güncel olmayan, yama uygulanmamış Sanallaştırma Tabanlı Güvenlik (VBS) sistem dosyalarını iptal edecek bir güncelleme üzerinde çalıştıklarını söyledi. Ancak, etkilenecek çok sayıda dosya nedeniyle bu güncellemeyi test etmek zaman alacaktır.