Windows'taki sıfır gün güvenlik açığı, saldırganlara sistemde daha fazla hak sağlar. Kaşif ona “BlueHammer” takma adını verdi. Anonim olduğu iddia edilen kaşif, konseptin bir kanıtı olarak “BlueHammer” istismarının kaynak kodunu içeren, özel bir blogda “Nightmare Eclipse” tanıtıcı adıyla GitHub deposuna bir bağlantı yayınladı. Geliştirici bu istismarın nasıl çalıştığını açıklamak istemiyor: “Siz dahiler bunu kendiniz anlayabilirsiniz.”
Reklamdan sonra devamını okuyun
Tanınmış BT güvenlik araştırmacısı Will Dormann, Mastodon'da bu istismarın işe yaradığını doğruladı. Yüzde 100 güvenilir değil ama yeterince iyi. Dormann, yayının koşullarının arkasında Microsoft Güvenlik Yanıt Merkezi'nin (MSRC) yaşadığı hayal kırıklığından şüpheleniyor. Geçmişte MSRC ile mükemmel bir işbirliği mümkündü. “Microsoft, paradan tasarruf etmek için yetenekli insanları kovdu ve geriye yalnızca paragraf yazarları kaldı.” Microsoft'un, şu anda MSRC'nin bir gerekliliği olan istismarın videosunu göndermediği için muhabirin davasını kapatması halinde şaşırmazdı.
Muhtemelen Windows Defender güncellemelerinden kaynaklanan güvenlik açığı
Bu istismarın Windows Defender güncelleme sürecini hedef aldığı görülüyor. Daha sonraki program akışında kod, Güvenlik Hesabı Yöneticisi (SAM) veritabanına erişerek kullanıcı için yeni bir parola ve görünüşe göre haklar belirler. Will Dormann'ın istismarın işe yaradığını kanıtlamak için sunduğu ekran görüntüsünde, aynı zamanda Windows Defender'ı ağ geçidi olarak işaret eden Windows Defender taramasının yer aldığı bir “Windows Güvenliği” penceresi de görebilirsiniz. Dormann bunu BleepingComputer'a doğruladı ve bu istismarın “kontrol zamanı kullanım süresi” güvenlik açığından (TOCTOU) ve dosya yolu karışıklığından yararlandığını açıkladı.
Bu açık, Windows 11 altında sistem hakları sağlıyor. Diğer yorumcular Windows Server'da daha az başarılı oldu ancak Dormann, saldırganların hâlâ yönetici haklarını elde edebildiğini de gösteriyor. PoC'nin yazarı ayrıca GitHub'da kodun çalışmasını engelleyen bazı hatalar bulunduğunu ve bunları daha sonra düzeltebileceğini de itiraf ediyor.
Reklamdan sonra devamını okuyun
Microsoft'un şu anda bu güvenlik açığını giderecek bir güncellemesi bulunmuyor. Ayrıca henüz bir CVE güvenlik açığı girişi yok. Bir Microsoft sözcüsü bu hafta Salı günü BleepingComputer'a yaptığı açıklamada, şirketin müşterileri mümkün olan en kısa sürede korumak için güvenlik açığı raporlarını araştırmaya ve etkilenen cihazları güncellemeye kararlı olduğunu söyledi. Microsoft ayrıca güvenlik açıklarının koordineli olarak yayınlanmasını da destekler; bu da sonuçta müşterilere ve BT güvenliği araştırmacılarına yardımcı olur.
Mart Patchday'de Microsoft, “Sıfır Gün” kategorisindeki iki güvenlik açığını zaten kapatmıştı. Geliştiricilerin önümüzdeki hafta gelecek yama gününde güvenlik açığını giderip gidermeyeceği belli değil.
(DMK)
Bir yanıt yazın