Windows sürücü imzası atlatması
- Saldırganlar, sürücü imza zorlaması gibi güvenlik özelliklerini atlatmak ve tamamen yamalanmış sistemlere rootkit kurmak için Windows çekirdek bileşenlerini eski sürümlere düşürebilir.
- Windows Update sürecini kontrol ederek güncel sistemlere eski ve savunmasız yazılım bileşenleri sokabilirler.
Windows sürüm düşürme
- SafeBreach güvenlik araştırmacısı Alon Leviev, güncelleme argümanı sorununu bildirdi ancak Microsoft bunun bir güvenlik sınırını aşmadığına karar vererek bunu göz ardı etti.
- Leviev, saldırının mümkün olduğunu BlackHat ve DEFCON güvenlik konferanslarında gösterdi ve sorun hâlâ çözülmüş değil.
- Araştırmacı, özel sürüm düşürmeleri oluşturabilen ve daha önce düzeltilmiş açıkları eski bileşenler üzerinden yeniden ortaya çıkarabilen Windows Downdate adlı bir araç yayımladı.
- Leviev, sürücü imza zorlaması (DSE) özelliğini atlatıp imzasız çekirdek sürücülerini yükleyerek güvenlik kontrollerini devre dışı bırakan rootkit zararlı yazılımı dağıtmanın mümkün olduğunu gösterdi.
Çekirdeği hedefleme
- Leviev, DSE korumasını atlatmak için Windows Update sürecinin nasıl kötüye kullanılabileceğini açıkladı.
ci.dll dosyası yamalanmamış bir sürümle değiştirilerek sürücü imzası yok sayılabilir ve Windows'un koruma kontrolleri atlatılabilir.- Bu değişim Windows Update tarafından tetikleniyor ve Windows en güncel kopyayı doğrularken savunmasız
ci.dll kopyasının belleğe yüklenmesi sırasındaki çift okuma koşulundan yararlanıyor.
- VBS (sanallaştırma tabanlı güvenlik) özelliğini devre dışı bırakma veya atlatma yöntemleri de açıklandı.
GN⁺ özeti
- Bu yazı, Windows sistemlerindeki güvenlik zafiyetlerinden yararlanarak sürücü imza zorlamasını atlatıp rootkit kurmanın yollarını anlatıyor.
- Bu saldırılar, yamalanmış bileşenlerin Windows Update süreci kötüye kullanılarak eski sürümlere düşürülmesiyle mümkün hâle geliyor.
- Bu durum, güvenlik araçlarının özellikle kritik bir güvenlik sınırı aşılmasa bile sürüm düşürme süreçlerini yakından izlemesi gerektiğini vurguluyor.
- Benzer işlevlere sahip diğer güvenlik araçları arasında EDR (Endpoint Detection and Response) çözümleri öneriliyor.
1 yorum
Hacker News görüşleri
MS, UAC'nin bir güvenlik sınırı olmadığını savunuyor. Sürücü imzası zorlamasının bir güvenlik özelliği olduğunu söylüyor, ancak bu durumda bunun bir güvenlik sınırını aşmadığını iddia ediyor
Bir kullanıcı, Windows'un neden hack'lenmeye açık olduğuna dair kavramsal bir modelin eksik olduğunu düşündüğünü belirtiyor
Yönetici ayrıcalıklarına sahip kullanıcılar bilgisayarda keyfi işlemler gerçekleştirebilir. Bir kullanıcı, bu saldırının ciddiyetini artıran ince bir fark olup olmadığını merak ediyor
Bir görüşe göre, ortada bir demo olmasına rağmen Microsoft'un buna karşı çıkması inanması güç. Vimeo hesabında başka birçok güvenlik bulgusu da var
Yönetici ayrıcalıklarıyla çekirdek kodu çalıştırarak root kullanıcısı rootkit kurabilir. Araştırmacı, Windows Downdate adlı bir araç yayımladı
Bir görüşe göre, Windows ve Linux'ta sıradan yetkilere sahip yerel hesaplar fiilen root ile eşdeğer. UAC ile sudo arasındaki farklara değiniliyor. Varsayılan yapılandırmada ikisini de kaldırmanın daha iyi olacağı da söyleniyor
Çekirdek dosya paylaşım kurallarını uyguluyor, ancak bellek eşleme için çakışan izinleri denetlemiyor. Linux ise zorunlu kilitlemeyi kaldırdı
Saldırı şüphe uyandıracak kadar basit. Güncelleme süreci kandırılarak savunmasız çekirdek bileşenlerinin eski sürümleri yükleniyor. Bir görüşe göre MS bu sorunu zaten değerlendirmiş olmalıydı
Bir kullanıcı, Microsoft sürücü imzasını zorunlu kıldığında yaşanan zorlukları hatırlıyor. Bu açığı bulan Alon Leviev ve SafeBreach övgü alıyor
Bir görüşe göre, Windows 11 kurcalanarak daha iyi bir işletim sistemine dönüştürülebilir, ancak odağı rootkit'lere vermek gerekiyor