Microsoft, Azure Site Recovery Üzerindeki Zafiyeti Kapattı
Microsoft, Azure Site Recovery paketinde saldırganların yükseltilmiş ayrıcalıklar elde etmesine veya uzaktan kod yürütmesine izin verebilecek 32 güvenlik açığını kapattı. Azure Site Recovery’de düzeltilen otuz iki güvenlik açığından ikisi uzaktan kod yürütülmesine izin veriyordu kalan otuz güvenlik açığı ayrıcalıkların yükseltilme zafiyetine izin veriyordu. Microsoft ayrıca Tenable tarafından keşfedilen DLL ele geçirme güvenlik açığının neden olduğu bir CVE-2022-33675 güvenlik açığını da açıkladı.
DLL ele geçirme zafiyeti
DLL ele geçirme zafiyeti, CVE-2022-33675 olarak izleniyor ve CVSS v3 önem derecesi 7.8 almış durumda ve 8 Nisan 2022’de Tenable’daki araştırmacılar tarafından keşfedildi.
DLL ele geçirme saldırıları, Windows işletim sisteminin uygulama başlatırken ihtiyaç duyduğu DLL’leri yüklediği klasörlerdeki izinlerin yanlış yapılandırmasından ortaya çıkan bir zafiyet.
Zafiyet istismarına baktığımızda, Azure Site Recovery uygulaması tarafından yüklenen normal bir DLL ile aynı adı kullanarak özel olarak hazırlanmış kötü amaçlı bir DLL oluşturuluyor. Bu kötü amaçlı DLL daha sonra DLL’lerin bulunduğu klasörde depolanıyor. Sonrasında uygulama başladığında yüklenmesine ve yürütülmesine neden oluyor.
Tenable yaptığı açıklamada; ASR’nin “cxprocessserver” hizmeti varsayılan olarak SYSTEM düzeyinde ayrıcalıklarla çalışıyor ve herhangi bir kullanıcıya ‘yazma’ izini veren hatalı yapılandırılmış bir klasörde bulunuyor.
Bu, yetkisiz kullanıcıların bu klasörlere özel hazırlanmış dll’leri yüklemesine izin verebilir (ktmw32.dll) ve sonuç olarakta yetkisiz bir kullanıcıya SYSTEM ayrıcalıkları kazandırabilir.
Eğer istismar edilirse..
- Saldırgan, hedef sistemde yönetici düzeyinde ayrıcalıklar elde edebilir.
- işletim sistemi güvenlik ayarlarını değiştirmek, kullanıcı hesaplarında değişiklik yapmak, sistemdeki tüm dosyalara kısıtlama olmaksızın erişmek ve ek yazılım yüklemek için tüm yetkilere sahip olur.
- ASR’nin bulut uygulamalarda ne kadar yaygın kullanıldığı göz önüne alındığında, ağ’a izinsiz girişlerde en zayıf nokta olarak dikkat çekebilir.
Kaynak: bleepingcomputer.com