Tehdit aktörleri, bu güvenlik açığından etkilenen sistemlerde Hizmet Reddi saldırıları gerçekleştirmek için Windows Rastgele Dosya Silme özelliğini kullanıyordu. Ancak son raporlar, Windows’un İsteğe Bağlı dosya silme işleminin tam bir uzlaşma için kullanılabileceğini gösteriyor.
Bu saldırının olasılığı, CVE-2023-27470 rastgele dosya silme güvenlik açığının bunu bir Windows sistemindeki dosyaların silinmesine ve daha sonra da silinmesine olanak sağlayan Kontrol Zamanından Kullanım Zamanına (TOCTOU) yarış koşuluyla birleştirilmesine bağlıdır. yükseltilmiş bir Komut İstemi oluşturur.
CVE-2023-27470 & TOCTOU – Teknik Analiz
CVE-2023-27470, N-Able’ın Take Control Agent’ını etkileyerek rastgele dosya silme güvenlik açığına yol açabilir. Bu güvenlik açığı analizi, Microsoft’un genellikle ProcMon adı verilen Process Monitor kullanılarak yapıldı.
Bu güvenlik açığı, ProcMon filtrelerinin yardımıyla tespit edilen NT AUTHORITY\SYSTEM işlemleri tarafından yürütülen güvenli olmayan dosya işlemleri nedeniyle ortaya çıkmaktadır.
Bu güvenlik açığı sırasında analiz edilen işlem, Take Control Agent 7.0.41.1141’e ait BASupSrvcUpdater.exe’dir.
DoControl ile ihtiyaçlarınıza uygun iş akışları oluşturarak SaaS uygulamalarınızı ve verilerinizi güvende tutabilirsiniz. Riskleri tanımlamanın ve yönetmenin kolay ve etkili bir yoludur. Kuruluşunuzun SaaS uygulamalarının riskini ve maruziyetini yalnızca birkaç basit adımda azaltabilirsiniz.
Ücretsiz Demoyu Deneyin
Yarış kondisyonu
BASupSrvcUpdater.exe her 30 saniyede bir, NT AUTHORITY\SYSTEM işlemi olarak C:\ProgramData\GetSupportService_N-Central\PushUpdates altında var olmayan bir klasöre ulaşma girişiminde bulunur. Daha fazla araştırma için bu PushUpdates klasörü ve sahte bir aaa.txt dosyası oluşturuldu.
BASupSrvcUpdater.exe, klasörün içeriğini okumaya çalıştı ve C:\ProgramData\GetSupportService_N-Central\Logs\BASupSrvcUpdater_ konumunda günlüğe kaydedilen bir silme işlemi gerçekleştirdi.[DATE].log günlük dosyası.
Bu özel eylem, bir tehdit aktörünün silme ve günlüğe kaydetme arasındaki zaman dilimini kullanarak bu durumdan yararlanabilmesi nedeniyle bir yarış durumuna yol açmaktadır.
Bu durumdan yararlanmak ve tam sistem güvenliğini aşmak için, saldırganın PushUpdates klasöründeki bir dosyayı sahte sembolik bağlantıyla değiştirmesi gerekir.
Bu saldırıya ilişkin tam bir rapor yayınlandı; bu rapor, sistemin tamamının ele geçirilmesinin kullanılması, teknikleri, süreci ve yöntemi hakkında ayrıntılı bilgi sağlıyor.
Bu saldırıyı önlemek için N-able kullanan kuruluşların bu güvenlik açığını gidermek üzere 7.0.43 sürümüne yükseltmeleri önerilir.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.