.webp "Yeni Windows Sıfır Gün Güvenlik Açığı, Saldırganların Kurbanın Makinesinden Kimlik Bilgilerini Çalmasına Olanak Sağlıyor")
Yeni özdeş Windows Teması Sıfır Gün Güvenlik Açığı Saldırganların Kimlik Bilgilerini Çalmasına İzin Veren güvenlik açığı, saldırganların güvenliği ihlal edilmiş sistemlerin NTLM kimlik bilgilerini almasına olanak tanırken, orta önemde bir Windows Temaları kimlik sahtekarlığı sorunu olan CVE-2024-38030’u düzeltir.
Acros Güvenlik araştırmacıları, Microsoft’un ilgili sorunu çözmek için yakın zamanda bir yama (CVE-2024-38030) yayınlamasına rağmen riskin tamamen azaltılmadığını bildirdi.
Kusur, Windows 11’in en son sürümü (24H2) de dahil olmak üzere birçok Windows platformunu etkiliyor ve muhtemelen çok sayıda kullanıcının açığa çıkmasına neden oluyor.
Windows Teması Sıfır Gün Güvenlik Açığı
Akamai’de güvenlik araştırmacısı olan Tomer Peled, geçen yıl Windows tema dosyalarını araştırmaya karar verdi.
Bir tema dosyası, bazı tema özellikleri (yani BrandImage ve Duvar Kağıdı) için bir ağ dosyası yolu belirttiğinde, Windows’un, kullanıcılar da dahil olmak üzere uzak ana bilgisayarlara otomatik olarak kimliği doğrulanmış ağ istekleri göndereceğini keşfettiler.
SIEM Fiyatlandırmanızı Yönetmek için En İyi Kılavuz -> Ücretsiz İndirin
Bu, masaüstüne yerleştirilen veya bir klasörde listelenen kötü amaçlı bir tema dosyasının, başka bir kullanıcı etkinliği olmadan kullanıcı kimlik bilgilerini sızdırmaya yeterli olacağı anlamına geliyordu.
Microsoft, talebi aldıktan üç ay sonra bu sorunu giderdi (CVE-2024-21320). Araştırmacılar daha sonra, güvenlik açığı bilgilerinin açıklanmasının ardından artık Windows güncellemelerini almayan Windows bilgisayarları için yamalar geliştirdiler.
Tomer daha sonra Microsoft’un yamasını inceledi ve bir tema dosyasındaki belirli bir yolun bir ağ yolu olup olmadığını belirlemek için PathIsUNC işlevini kullandığını ve eğer öyleyse onu göz ardı ettiğini keşfetti.
2016’da PathIsUNC’u atlamanın çeşitli yöntemlerini ayrıntılı olarak açıklayan James Forshaw olmasaydı, bu, NTLM kimlik bilgilerinin sızmasını durdurmalıydı.
Tomer, James’in bahsettiği yöntemlerin Microsoft’un CVE-2024-21320 yamasını atlamak için kullanılabileceğini keşfetti. Tekrar deneyebilmeleri için Microsoft’u bunun için bildirdi. Microsoft yamayı düzeltti ve yeni sorunu CVE-2024-38030’a bağladı.
Araştırmacılar, “Sorunu analiz ederken, güvenlik araştırmacılarımız biraz etrafa bakmaya karar verdi ve şu anda en son Windows 11 24H2’ye kadar tamamen güncellenmiş tüm Windows sürümlerinde hala mevcut olan aynı sorunun ek bir örneğini buldu” dedi.
Bu nedenle araştırmacılar, Windows tema dosyaları için, yalnızca dosyayı inceleyerek Windows’un bir tema dosyasında belirtilen uzak bir ana bilgisayara ağ isteği göndermesine neden olan tüm yürütme yollarını ele alacak daha kapsamlı bir yama oluşturdu.
Mikropatch hizmetiyle 0patch kullanıcıları zaten bu 0day’a karşı korunuyor. Şu anda bu “0day” güvenlik açığına yönelik resmi bir satıcı düzeltmesi bulunmadığından 0patch, böyle bir düzeltme mevcut olana kadar mikro yamaları ücretsiz olarak sunuyor.
Mikro yamalar, Windows Workstation’ın güvenlik açısından benimsenmiş eski sürümlerinin yanı sıra, mevcut tüm Windows Güncelleştirmelerinin yüklü olduğu, şu anda desteklenen tüm Windows sürümleri için oluşturulmuştur:
Eski Windows sürümleri:
- Windows 11 v21H2 – tamamen güncellendi
- Windows 10 v21H2 – tamamen güncellendi
- Windows 10 v21H1 – tamamen güncellendi
- Windows 10 v20H2 – tamamen güncellendi
- Windows 10 v2004 – tamamen güncellendi
- Windows 10 v1909 – tamamen güncellendi
- Windows 10 v1809 – tamamen güncellendi
- Windows 10 v1803 – tamamen güncellendi
- Windows 7 – ESU, ESU 1, ESU 2 veya ESU 3 olmadan tamamen güncellendi
Hala Windows Güncellemeleri alan Windows sürümleri:
- Windows 10 v22H2 – tamamen güncellendi
- Windows 11 v22H2 – tamamen güncellendi
- Windows 11 v23H2 – tamamen güncellendi
- Windows 11 v24H2 – tamamen güncellendi
“Yamaların yalnızca Windows Workstation için oluşturulduğunu, Windows Server için oluşturulmadığını unutmayın.
Araştırmacılar, “Windows Temalarının bir sunucuda çalışabilmesi için Masaüstü Deneyimi özelliğinin yüklenmesi gerektiğini (varsayılan olarak değildir)” diye açıklıyor.
“Ayrıca, kimlik bilgilerinin bir sunucuya sızması için bir tema dosyasını yalnızca Windows Gezgini’nde veya masaüstünde görüntülemek yeterli değildir; bunun yerine tema dosyasına çift tıklanması gerekiyor ve tema bu şekilde uygulanıyor.”
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!