Az önce ne oldu?Başka bir gün, Microsoft Windows’ta keşfedilen başka bir güvenlik açığı. En sonuncusu Black Sınır güvenlik konferansında sunulan araştırma sayesinde geldi. Bu araştırma, Windows Update mimarisinde kritik işletim sistemi bileşenlerinin güncelleme sürecini manipüle ederek düşürülmesine izin veren bir tasarım açığını ortaya çıkardı.
Microsoft Windows güvenlik araçlarında önemli bir güvenlik açığı Black Çizgi güvenlik konferansında açıklandı. SafeBreach’ten bir araştırmacı olan Alon Leviev, saldırganların sistemleri önceki sürümlere düşürmesini sağlayan Windows güncelleme sürecini istismar etmek için bir yöntem sergiledi. Bu süreç, Windows’un mevcut sürümlerinde zaten düzeltilmiş olan güvenlik açıklarını yeniden ortaya çıkarır.
Bu kusur, Windows kayıt defterine eklenen özel bir düşürme eylem listesi hazırlamayı içerir. Bu liste, sistemi güncel olmayan ve güvenlik açığı olan sistem dosyalarını kabul etmeye kandıran Güvenilir Yükleyici tarafından zorunlu tutulmaz.
Bir dosya klasörünün adını değiştirerek, saldırı sanallaştırma tabanlı güvenliği (VBS) atlatarak dosya oluşturma, silme ve kayıt defteri değişikliği gibi güncelleme eylemleri üzerinde kontrol sağlar. Bu, saldırının meşru bir güncelleme gibi görünmesini sağlar ve standart güvenlik araçları tarafından algılanamaz hale getirir.
Güvenli Çekirdek veya hipervizör düşürüldüğünde, saldırgan VBS’yi devre dışı bırakabilir, UEFI kilitlerini atlatabilir ve Kimlik Bilgisi Koruması ve Windows Defender gibi kısıtlayıcı ayarlara rağmen kimlik bilgilerini çıkarabilir.
Saldırı, ayrıcalıkların Yönetici düzeyinden çekirdek düzeyine ve daha sonra hipervizör düzeyine yükseltilmesini kolaylaştırarak, saldırganlara tüm izole ortamlara erişim ve sanallaştırma yığınındaki geçmiş güvenlik açıklarından yararlanma yeteneği sağlıyor.
Araştırma, sanallaştırma yığınında mevcut bir düşürme azaltması bulamadı ve bu da tüm sistemi savunmasız bıraktı. Bu kusur, potansiyel olarak diğer işletim sistemlerini de etkileyebilecek daha geniş bir sorunun altını çiziyor.
Microsoft bu açığı kabul etti ve hafifletmeler üzerinde çalışıyor. Ancak, tasarım kusurunun birden fazla alt programı etkilemesi nedeniyle bir düzeltme karmaşıktır. Ayrıca, entegrasyon hatalarını veya gerilemeleri önlemek için sıkı testler gerektiğinden biraz zaman alabilir. İyi haber şu ki Microsoft, henüz bu açığın vahşi doğada herhangi bir istismarını gözlemlemediğini söylüyor.
SafeBreach Labs, bulguları Şubat 2024’te sorumlu bir şekilde Microsoft’a açıkladı. Leviev, hem tedarikçilerin hem de araştırmacıların benzer güvenlik açıklarını önlemek için yeni saldırı vektörlerini keşfetmelerini öneriyor.
Araştırmacı ayrıca Microsoft’un tüm saldırı sınıflarını ortadan kaldırmak için programları yeniden tasarlamak yerine yalnızca belirli güvenlik açıklarını düzeltme yaklaşımını eleştirdi. Bu arada, diğer güvenlik sorunlarına yanıt olarak Microsoft, genel güvenlik önlemlerini iyileştirmek için güvenlik performansını çalışan değerlendirmelerine entegre etme sözü verdi.