Windows Uzak Kayıt Defteri istemcisinde CVE-2024-43532 olarak tanımlanan kritik bir ayrıcalık yükselmesi (EoP) güvenlik açığı keşfedildi. Bu güvenlik açığı potansiyel olarak saldırganların NTLM kimlik doğrulamasını aktarmasına ve Windows sistemlerine yetkisiz erişim elde etmesine olanak tanır.
8,8 gibi yüksek bir CVSS puanına sahiptir ve yama yapılmamış tüm Windows sürümlerini etkiler. Akamai araştırmacısı Stiv Kupchik, WinReg istemci uygulamasındaki bir geri dönüş mekanizmasından yararlanan güvenlik açığını ortaya çıkardı.
Bu mekanizma, SMB aktarımı kullanılamadığında eski aktarım protokollerini güvenli olmayan bir şekilde kullanır. Kusur, Şubat 2024’te Microsoft Güvenlik Kaynak Merkezi’ne sorumlu bir şekilde bildirildi ve ardından Ekim Salı 2024 Yaması kapsamında yama uygulandı.
Windows Uzaktan Kayıt Defteri İstemcisi EoP Kusuru
Güvenlik açığı, Windows API’nin temel bileşeni olan advapi32.dll dosyasındaki BaseBindToMachine işlevinden kaynaklanıyor. UNC yolu kullanarak uzak bir kayıt defterine bağlanmaya çalışırken, ilk SMB bağlantısı başarısız olursa işlev güvenli olmayan kimlik doğrulama yöntemlerini kullanmaya geri dönebilir.
Join ANY.RUN's FREE webinar on How to Improve Threat Investigations on Oct 23 - Register Here
Sorun özellikle şu durumlarda ortaya çıkar:
- Bağlantı TCP/IP gibi alternatif protokollere geri dönüyor.
- RpcBindingSetAuthInfoA işlevi, RPC_C_AUTHN_LEVEL_CONNECT kimlik doğrulama düzeyiyle çağrılır.
Bu güvenli olmayan yapılandırma, saldırganların istemcinin NTLM kimlik doğrulama ayrıntılarını ele geçirmesine ve aktarmasına olanak tanır.
Bir saldırgan bu güvenlik açığından yararlanarak şunları yapabilir:
- NTLM kimlik doğrulama girişimini durdurun.
- Kimlik bilgilerini Active Directory Sertifika Hizmetleri’ne (ADCS) aktarın.
- Etki alanında daha fazla kimlik doğrulama için bir kullanıcı sertifikası isteyin.
Stiv Kupchik, bu saldırı zincirinin potansiyel olarak saldırganların ayrıcalıkları artırmasına ve Windows etki alanı ortamındaki hassas sistemlere yetkisiz erişim elde etmesine olanak sağladığını söyledi.
Uzak Kayıt Defteri hizmeti tüm Windows makinelerinde varsayılan olarak etkin olmasa da, aşağıdakiler de dahil olmak üzere bazı kritik Windows bileşenleri ve hizmetleri, güvenlik açığı bulunan WinAPI işlevlerini kullanır:
- AD CS (certutil ve certsrv)
- Şifreleme Dosya Sistemi (EFS)
- Dağıtılmış Dosya Sistemi (DFS)
Bu hizmetler, sistemleri yanlışlıkla güvenlik açığına maruz bırakabilir. Bu güvenlik açığını tespit etmek ve azaltmak için kuruluşlar şunları yapabilir:
- Uzak Kayıt Defteri hizmetinin durumunu kontrol etmek için osquery’yi kullanın:
SELECT display_name, status, start_type, pid FROM services WHERE name="RemoteRegistry"- Savunmasız WinAPI işlevlerine dayanan ikili dosyaları tanımlamak için YARA kurallarını kullanın.
- RemoteRegistry hizmetine giden trafiği izlemek ve kontrol etmek için ağ bölümlendirme ilkelerini uygulayın.
- WinReg RPC arayüzü UUID’sine odaklanarak RPC trafiğini izlemek için Windows için Olay İzleme’yi (ETW) kullanın.
- Güvenlik açığını gidermek için en son Microsoft güvenlik düzeltme eklerini uygulayın.
Bu keşif, modern işletim sistemlerinde eski protokollerin ve arayüzlerin güvenliğinin sağlanmasında süregelen zorlukların altını çiziyor.
Güvenlik açığı, eski arayüzler ve protokollerle ilişkili riskleri belirlemek ve azaltmak için kapsamlı ağ savunmalarının ve düzenli güvenlik denetimlerinin öneminin altını çiziyor.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here