.webp?w=696&resize=696,0&ssl=1 "Windows'u Boksu Dışında Kırma")
Mevcut korumaları atlayan ve Windows makinelerine idari komut satırı erişimini sağlayan Windows Box-Bexperience’den (OOBE) kullanma yeni bir yöntem tanımlanmıştır.
Bu teknik, Microsoft’un önerilen güvenlik önlemi DisableCmdRequest.Tag dosyası, iyi bilinen Shift + F10 klavye kısayol güvenlik açığını engellemek için uygulandığında bile çalışır.
Keşif, Windows’un ilk kurulum sürecinde yetkisiz kullanıcıların yüksek ayrıcalıklar kazanmasına ve kurumsal cihazlarda arka kapı hesapları oluşturmasına izin verebilecek kalıcı güvenlik boşluklarını vurgular.
Key Takeaways
1. New Win + R exploit bypasses Windows OOBE security protections.
2. Grants full Administrator access via defaultuser0 account during setup.
3. Microsoft won't fix; only mitigation is hiding Intune reset buttons.
Win + R Oobe Bypass
Kanbach, yöntemin OOBE süreci sırasında gizli bir çalışma diyalogu ortaya çıkarmak için Win + R klavye kombinasyonundan yararlandığını ve geleneksel güvenlik kontrollerini atlattığını bildirdi.
Yaygın olarak belgelenmiş Shift + F10 tekniğinden farklı olarak, bu yaklaşım başarılı bir şekilde yürütmek için belirli bir eylem dizisi gerektirir.
Sömürü süreci, uygun pencere odağı oluşturmak için magnify.exe gibi bir erişilebilirlik aracı açarak başlar.
Büyütme penceresi etkin olduğunda, Win + R tuşuna basmak, arka planda gizli kalmasına rağmen RUN diyaloğunu başlatır.
Kullanıcılar, mevcut pencerelerden geçiş yapmak için Alt + sekmesini kullanarak varlığını ortaya çıkarabilir. Kritik güvenlik açığı, bu diyaloğun Windows’un OOBE sırasında tam yerel yönetici grup ayrıcalıklarıyla oluşturduğu geçici bir yönetim hesabı olan Defaultuser0 bağlamında çalışması gerçeğinde yatmaktadır.
Ayrıcalıkları daha da arttırmak için saldırganlar CMD.EXE’yi Run Diyaloğuna yazabilir ve kullanıcı hesabı kontrolü (UAC) onam yüksekliğini tetiklemek için CTRL + Shift + Enter tuşlarına basın.
UAC istemi göründüğünde ve kabul edildiğinde, saldırganların keyfi sistem değişiklikleri yürütmesini, arka kapı hesapları oluşturmasını veya güvenlik yapılandırmalarını değiştirmesini sağlayan yüksek bir komut istemini yönetici ayrıcalıklarla açılır.
Microsoft’un yanıtı
Bu OOBE koparma yöntemi, özellikle kullanıcıların Microsoft Intune Company Portalı aracılığıyla cihaz sıfırlamalarını başlatabilecekleri kurumsal ortamlarda önemli güvenlik riskleri oluşturmaktadır.
Güvenlik açığı, düşük privil olmayan etki alanı kullanıcılarının sadece bir push düğmesi sıfırlaması yaparak ve OOBE arayüzünden yararlanarak yerel idari erişim elde etmelerini sağlar.
Microsoft, Oobe’nin bir idari oturumda doğal olarak çalıştığını ve kurulum sırasında cihazları gözetimsiz bırakmanın makinelerin kilidi bırakmaya eşdeğer olduğunu belirterek bu güvenlik sorunu ele almayı reddetti.
Şirketin pozisyonu, bunu yama gerektiren bir yazılım güvenlik açığı yerine operasyonel bir güvenlik kaygısı olarak ele alıyor.
Birincil azaltma stratejisi, Kiracı Yönetim> Özelleştirme altında Microsoft Intune Yönetici Merkezi’ndeki sıfırlama düğmesini gizleyerek kullanıcıların OOBE’ye tamamen erişmelerini önlemeyi içerir.
Yöneticiler, yetkisiz cihaz sıfırlamalarını önlemek için Kurumsal Windows Cihazlar ayarındaki Sıfırlama düğmesini etkinleştirmelidir.
Bununla birlikte, bu, Windows’un kurulum sürecindeki temel mimari güvenlik zayıflığı yerine semptomları ele alan eksik bir çözümü temsil eder.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.