Araştırmacılar, takip ettikleri bir zayıflığı CVE-2024-6769 olarak işaretlediler ve bunu kullanıcı erişim kontrolü (UAC) bypass/ kombinasyonu olarak adlandırdılar.ayrıcalık yükseltme güvenlik açığı Windows’ta. Kimliği doğrulanmış bir saldırganın tüm sistem ayrıcalıklarını elde etmesine izin verebileceği konusunda uyardılar.
Fortra’ya göre bu, sorunu atanan Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) ölçeğine göre 10 üzerinden 6,7 orta şiddet puanı. Fortra’nın güvenlik Ar-Ge direktör yardımcısı Tyler Reguly, bunun kavram kanıtı istismarının “sistemi kapatma yeteneğine sahip olduğunuzu” gösterdiğini vurguladı. “Sürücüde daha önce yapamadığınız dosyaları yazıp silebileceğiniz belirli konumlar var.” Buna örneğin C:\Windows da dahildir, böylece bir saldırgan SYSTEM’e ait dosyaların sahipliğini ele geçirebilir.
Microsoft ise araştırmayı kabul etti ancak bunu gerçek bir güvenlik açığı olarak değerlendirmediğini, çünkü “sağlam olmayan” güvenlik sınırlarına sahip olmanın kabul edilebilirlik kavramı kapsamına girdiğini söyledi.
Windows’ta Bütünlük Düzeylerini Anlamak
Fortra’nın bulgularını anlamak için Microsoft’un Zorunlu Bütünlük Denetimi (MIC) modelini tanıttığı Windows Vista’ya dönmemiz gerekiyor. Basitçe söylemek gerekirse, MIC her kullanıcıya, sürece ve kaynağa bütünlük düzeyi adı verilen bir erişim düzeyi atadı. Düşük bütünlük düzeyleri herkese, kimliği doğrulanmış kullanıcılar için orta, yöneticiler için yüksek ve sistem yalnızca en hassas ve güçlü olanlar için sağlandı.
Bu bütünlük düzeylerinin yanı sıra, çoğu işlemi ve uygulamayı varsayılan olarak orta düzeyde çalıştıran ve bundan daha fazla ayrıcalık gerektiren tüm eylemler için açık izin gerektiren bir güvenlik mekanizması olan UAC geldi. Tipik olarak yönetici düzeyindeki bir kullanıcı, bir komut istemine sağ tıklayıp “Yönetici Olarak Çalıştır”ı seçerek yükseltme yapabilir.
Fortra araştırmacıları, iki yararlanma tekniğini birleştirerek, kavram kanıtlarında, hali hazırda yetkilendirilmiş bir kullanıcının, UAC’yi tetiklemeden, tam yönetici ayrıcalıkları elde etmek için orta bütünlük düzeyinde dayatılan güvenlik sınırını atlayarak bu sistem üzerinden nasıl gizlice girebileceğini gösterdi.
Kullanıcı Sınırlarını Aşmak İçin CVE-2024-6769’u Kullanma
Bir saldırganın CVE-2024-6769’dan yararlanabilmesi için öncelikle hedeflenen sistemde bir dayanak noktası olması gerekir. Bu, ortalama bir kullanıcının orta düzeyde bütünlük düzeyinde ayrıcalıklara sahip olmasını gerektirir ve saldırının tetiklendiği hesabın, sistemin yönetim grubuna (UAC’nin yoluna çıkmaması durumunda yönetici ayrıcalıklarına yükselebilecek hesap türü) ait olması gerekir. ).
Saldırının ilk adımı şunları içeriyor: hedeflenen sistemin kök sürücüsünün yeniden eşlenmesi — “C:” gibi — kendi kontrolleri altındaki bir konuma. Bu aynı zamanda birçok hizmetin kritik sistem dosyalarını yüklemek için kullandığı “system32” klasörünü de değiştirecektir.
Bu tür hizmetlerden biri, yönetici ayrıcalıkları olmadan yüksek bütünlük düzeyinde çalışan CTF Yükleyicisi ctfmon.exe’dir. Saldırgan, taklit system32 klasörüne özel hazırlanmış bir kopya DLL yerleştirirse, ctfmon.exe bunu yükleyecek ve saldırganın kodunu bu yüksek bütünlük düzeyinde çalıştıracaktır.
Daha sonra, saldırgan tam yönetici ayrıcalıklarına sahip olmak isterse, etkinleştirme bağlamı önbelleğini zehirleWindows’un kitaplıkların belirli sürümlerini yüklemek için kullandığı . Bunu yapmak için, önbellekte, saldırgan tarafından oluşturulan bir klasörde bulunan meşru bir sistem DLL dosyasının kötü amaçlı bir sürümüne işaret eden bir giriş oluştururlar. Sahte dosya, İstemci/Sunucu Çalışma Zamanı Alt Sistemi (CSRSS) sunucusuna özel olarak hazırlanmış bir mesaj aracılığıyla, saldırgana sistem üzerinde tam kontrol sağlayan yönetici ayrıcalıklarına sahip bir işlem tarafından yüklenir.
Microsoft: Güvenlik Açığı Değil
Ayrıcalık yükseltme potansiyeline rağmen Microsoft, sorunu bir güvenlik açığı olarak kabul etmeyi reddetti. Fortra’nın bunu bildirmesinin ardından şirket, yasanın “sınır dışı” bölümüne işaret ederek yanıt verdi. Windows için Microsoft Güvenlik Hizmeti Kriterleri“bazı Windows bileşenlerinin ve yapılandırmalarının açıkça sağlam bir güvenlik sınırı sağlamayı amaçlamadığını” özetliyor. İlgili “Çekirdek Yöneticisi” bölümünün altında şunu okur:
Yönetim süreçleri ve kullanıcılar, Windows için Güvenilir Bilgi İşlem Tabanının (TCB) parçası olarak kabul edilir ve bu nedenle çekirdek sınırından güçlü bir şekilde izole edilmez. Yöneticiler bir aygıtın güvenliğinin denetimi altındadır ve güvenlik özelliklerini devre dışı bırakabilir, güvenlik güncellemelerini kaldırabilir ve çekirdek yalıtımını etkisiz hale getiren diğer eylemleri gerçekleştirebilir.
Reguly, esasen şöyle açıklıyor: “Yönetici-sistem sınırını var olmayan bir sınır olarak görüyorlar çünkü yöneticiye bir ana makinede güveniliyor.” Başka bir deyişle Microsoft, bir yönetici kullanıcının UAC onayına bağlı olarak aynı sistem düzeyindeki eylemleri yine de gerçekleştirebilmesi durumunda CVE-2024-6769’u bir güvenlik açığı olarak değerlendirmez.
Dark Reading, bu nokta hakkında daha fazla yorum yapmak için Microsoft’a ulaştı.
Regule ve Fortra, Microsoft’un bakış açısına katılmıyor. “UAC tanıtıldığında, sanırım hepimiz UAC’nin bu harika yeni güvenlik özelliği olduğu fikrine kapılmıştık ve Microsoft’un güvenlik özelliklerine yönelik bypass’ları düzeltme konusunda bir geçmişi var” diyor. “Yani eğer bunun aşılması kabul edilebilir bir güven sınırı olduğunu söylüyorlarsa, aslında bana UAC’nin bir güvenlik özelliği olmadığını söylüyorlar. Bu bir tür yararlı mekanizma, ancak aslında güvenlikle ilgili değil. Bunun gerçekten güçlü bir felsefi farklılık olduğunu düşünüyorum.”
Windows Mağazaları Hala UAC Riskini Atlama Riskine Dikkat Etmeli
Felsefi farklılıkları bir kenara bırakan Reguly, işletmelerin, daha düşük düzeyde bütünlüğe sahip yöneticilerin tam sistem kontrollerine ulaşmak için ayrıcalıklarını artırmalarına izin vermenin risklerinin farkında olması gerektiğini vurguluyor.
CVE-2024-6769 saldırısının sonunda saldırgan, kritik sistem dosyalarını değiştirmek veya silmek, kötü amaçlı yazılım yüklemek, kalıcılık oluşturmak, güvenlik özelliklerini devre dışı bırakmak, potansiyel olarak hassas verilere erişmek ve daha fazlasını yapmak için tam yetkiye sahip olacaktır.
Fortra, gazetecilere yönelik bir SSS’de “Neyse ki, bundan yalnızca yöneticiler etkileniyor, bu da standart kullanıcılarınızın çoğunun etkilenmediği anlamına geliyor.” dedi. “Yöneticiler için, kökenleri doğrulanamayan ikili dosyaları çalıştırmadığınızdan emin olmak önemlidir. Ancak bu yöneticiler için dikkatli olmak şu anda en iyi savunmadır.”