Daha önce “RedSun”, “UnDefend” ve “BlueHammer” güvenlik açıklarını ortaya koyan BT güvenlik araştırmacısı, Windows'taki güvenlik açıklarına ilişkin daha fazla yayınla konuyu takip ediyor. “NightmareEclipse” (GitHub) veya “Chaotic Eclipse” (Blogspot), Windows'un BitLocker sürücü şifrelemesinde ciddi bir güvenlik açığı olan “YellowKey”i keşfetti. Ayrıca bir Windows sürücüsünde başka bir ayrıcalık yükseltme kusuru olan “MiniPlasma”yı da keşfetti.
Reklamdan sonra devamını okuyun
Microsoft, 2020'de “Windows Bulut Dosyaları Mini Filtresi”ndeki hak yükseltme açığını kapatmaya zaten çalışmıştı (CVE-2020-17103, CVSS) 7.0risk”yüksek“). Düzeltme ekinin bir noktada geri çekilip çekilmediği veya Microsoft'un bunu dağıtıp dağıtmadığı belli değil. Her durumda, Google'ın Project Zero'nun o sırada bildirdiği güvenlik açığı hala savunmasız. GitHub'daki kavram kanıtlama istismarı (PoC), saldırganların onu SİSTEM haklarını kazanmak için nasıl kullanabileceğini göstermeyi amaçlıyor, ancak Google'ın eski PoC'si de hala çalışıyor.
Yerel erişimle BitLocker'ın kilidini istediğiniz zaman açın
BitLocker'daki “YellowKey” güvenlik açığı biraz daha baş ağrısıdır. Yakın zamanda ortaya çıkan BitUnlocker tabanlı saldırıda olduğu gibi yerel erişim gerekiyor. Ancak basit bir USB bellek yeterlidir. Saldırganlar “System Volume InformationFsTx” klasörünü klasöre kopyalar. Dosya sistemi FAT, FAT32, exFAT veya NTFS gibi Windows ile uyumlu olmalıdır. Artık bu çubuğu BitLocker'ın etkin olduğu bir bilgisayara takıyorsunuz. Başlatma sırasında Shift tuşunu basılı tutarak sistemin Windows kurtarma ortamına önyükleme yapması gerekir. Saldırganlar Yeniden Başlat'a tıklar ve Shift tuşu yerine Ctrl tuşunu basılı tutar. Bu, aslında BitLocker tarafından korunan sürücüye sınırsız erişime sahip bir kabuk başlatır. Bu, Windows 11 ile Server 2022 ve 2025'te çalışmalıdır; Windows 10'un Windows kurtarma ortamı etkilenmez. *Elipse bir blog yazısında, BitUnlocker'dan türetilen saldırılara (şifre çözme ve TPM korumasından önce PIN girilmesine dayanan bir ortam) yardımcı olan şeyin burada görünüşte etkisiz olduğunu yazıyor.
BT güvenliği uzmanı Will Dormann, istismarı test etti ve Mastodon hakkındaki sonuçlarını bildirdi. Ona göre, BitLocker sürücüsü erişimiyle kabuğa girmek için Ctrl tuşunu basılı tutmak gerekli değildir. Tam işlevsellik şu anda hala belirsiz, ancak bir sürücünün (Transactional NTFS'nin parçası olan) “System Volume InformationFsTx” klasörünün diğer sürücülerin içeriğinin kilidini açmak için kullanılabileceği anlaşılıyor. Ancak Dormann'ın gönderisinin altındaki bir kullanıcı raporu, C sürücüsünün serbest bırakıldığını, ancak D sürücüsünün serbest bırakılmadığını gösteriyor.
Blog girişinde *Eclipse ayrıca Microsoft'un bildirilen güvenlik açıklarından birini sessizce düzelttiğini de yazıyor. Nisan ortasından itibaren ortaya çıkan “RedSun” güvenlik açığı saldırganlara yönetici hakları veriyor. Görünüşe göre bu durum, CVE güvenlik açığı girişi olmadan geçen hafta Salı Yaması'ndaki güncellemelerle düzeltildi.
Reklamdan sonra devamını okuyun
(DMK)
Bir yanıt yazın