Windows'taki sıfır gün güvenlik açığı, saldırganlara sistemde daha fazla hak verir. Keşif ona “BlueHammer” takma adını verdi. Anonim kaşif olduğu iddia edilen kişi, özel bir blogda, konseptin kanıtı olarak “BlueHammer” istismarının kaynak kodunu içeren “Nightmare Eclipse” adı altında GitHub deposuna bir bağlantı yayınladı. Geliştirici bu istismarın nasıl çalıştığını açıklamak istemiyor: “Siz dahiler bunu kendiniz çözebilirsiniz.”
Duyurudan sonra devamını okuyun
Tanınmış BT güvenliği araştırmacısı Will Dormann, Mastodon'da bu istismarın işe yaradığını doğruladı. %100 güvenilir olmasa da yeterince iyidir. Dormann, yayının koşullarının arkasında Microsoft Güvenlik Yanıt Merkezi (MSRC) ile ilgili hayal kırıklığının olduğundan şüpheleniyor. Geçmişte MSRC ile mükemmel bir işbirliği mümkün olmuştur. “Microsoft, paradan tasarruf etmek için yetenekli insanları kovdu ve geriye yalnızca paragraf koşucuları kaldı.” Microsoft'un gazetecinin davasını, şu anda MSRC'nin bir gerekliliği gibi görünen istismarın videosunu göndermediği için kapatması halinde şaşırmazdı.
Muhtemelen Windows Defender güncellemelerinden kaynaklanan güvenlik açığı
Bu istismarın Windows Defender güncelleme sürecini hedef aldığı görülüyor. Programın bir sonraki akışında kod, Güvenlik Hesabı Yöneticisi (SAM) veritabanına erişerek kullanıcı için yeni bir parola ve görünüşe göre haklar belirler. Will Dormann'ın bu istismarın işe yaradığını göstermek için sunduğu ekran görüntüsünde, Windows Defender taramasını içeren ve Windows Defender'ı ağ geçidi olarak da listeleyen bir “Windows Güvenliği” penceresi de görebilirsiniz. Dormann bunu BleepingComputer'a doğruluyor ve istismarın “kullanım zamanı kontrolü” (TOCTOU) güvenlik açığından ve dosya yolu karışıklığından yararlandığını açıklıyor.
Bu açık, Windows 11 altında sistem hakları sağlıyor. Diğer yorumcular Windows Server'da daha az başarılı oldu ancak Dormann, saldırganların hâlâ yönetici haklarını elde edebildiğini de gösteriyor. PoC yazarı ayrıca GitHub'da kodun çalışmasını engelleyen bazı hatalar bulunduğunu ve bunları daha sonra düzeltebileceğini de itiraf ediyor.
Duyurudan sonra devamını okuyun
Microsoft'un şu anda bu güvenlik açığını giderecek bir güncellemesi bulunmuyor. Ayrıca CVE güvenlik açığı hakkında henüz bir açıklama yapılmadı. Bir Microsoft sözcüsü Salı günü BleepingComputer'a, şirketin müşterileri mümkün olan en kısa sürede korumak için güvenlik açıklarına ilişkin raporları araştırmaya ve etkilenen cihazları güncellemeye kararlı olduğunu söyledi. Microsoft ayrıca koordineli güvenlik açığı gönderimini de destekler; bu da sonuçta müşterilere ve BT güvenliği araştırmacılarına yardımcı olur.
Mart ayındaki Patchday'de Microsoft, “Sıfır Gün” kategorisindeki iki güvenlik açığını zaten düzeltmişti. Geliştiricilerin gelecek hafta yama gününe kadar güvenlik açığını giderip gidermeyeceği belli değil.
(Bilmiyorum)
Bir yanıt yazın