Siber Güvenlik Uzmanı, Yanlışlıkla Windows 7 ve Server 2008 Sıfır-Gün Açığı Keşfetti
Güvenlik araştırmacısı söz konusu güvenlik açığını, bir Windows güvenlik aracı üzerinde çalışırken keşfetti
Bir Fransız güvenlik araştırmacısı, bir Windows güvenlik aracına yönelik bir güncelleme üzerinde çalışırken Windows 7 ve Windows Server 2008 R2 işletim sistemlerini etkileyen bir sıfırıncı gün güvenlik açığını yanlışlıkla keşfetti.
Güvenlik açığı, tüm Windows yüklemelerinin parçası olan RPC Bitiş Noktası Eşleştiricisi ve DNSCache hizmetleri için yanlış yapılandırılmış iki kayıt defteri anahtarında bulunuyor.
- HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
- HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
Sıfır günü keşfeden Fransız güvenlik araştırmacısı Clément Labro, savunmasız sistemler üzerinde yer edinen bir saldırganın, genellikle Windows Performans İzleme mekanizması tarafından kullanılan bir alt anahtarı etkinleştirmek için bu kayıt defteri anahtarlarını değiştirebileceğini söylüyor.
“Performans” alt anahtarları genellikle bir uygulamanın performansını izlemek için kullanılır ve rolleri nedeniyle geliştiricilerin özel araçları kullanarak performansı izlemek için kendi DLL dosyalarını yüklemelerine de izin verir.
Windows’un son sürümlerinde, bu DLL’ler genellikle kısıtlanmış ve sınırlı ayrıcalıklarla yüklenmiş olsa da, Labro Windows 7 ve Windows Server 2008’de, SYSTEM düzeyinde ayrıcalıklarla çalışan özel DLL’leri yüklemenin hala mümkün olduğunu söyledi.
Hata yanlışlıkla keşfedildikten sonra açıklandı
Ancak çoğu güvenlik araştırmacısı Microsoft’a bu gibi ciddi güvenlik sorunlarını özel olarak bildirirken, Labro’nun bu keşfinde bunu yapmak için artık çok geçti.
Labro, ayrıcalık yükseltme için kötü amaçlı yazılımlar tarafından kötüye kullanılabilecek yaygın Windows güvenlik yapılandırmalarını kontrol etmek için bir araç olan PrivescCheck‘e bir güncelleme yayınladıktan sonra sıfırıncı günü keşfettiğini söyledi.
Geçen ay yayınlanan güncelleme ile, ayrıcalık yükseltme teknikleri için yeni bir dizi denetim için destek eklendi.
Labro, piyasaya sürüldükten günler sonra Windows 7 gibi eski sistemlerde görünen bir dizi uyarıyı araştırmaya başlayana kadar yeni kontrollerin yeni ve yamalanmamış bir ayrıcalık yükseltme yöntemini vurguladığını bilmediğini söyledi.
O zamana kadar, araştırmacının sorunu Microsoft’a özel olarak bildirmesi için çok geçti ve araştırmacı, sorunu bildirmek yerine kendi kişisel sitesinde yeni yöntem hakkında blog yazmayı seçti.
Hem Windows 7 hem de Windows Server 2008 R2 resmi olarak kullanım ömrünün sonuna (EOL) ulaştı ve Microsoft ücretsiz güvenlik güncellemeleri sağlamayı durdurdu. Bazı güvenlik güncellemeleri, şirketin ESU (Genişletilmiş Destek Güncellemeleri) ücretli destek programı kapsamında Windows 7 kullanıcılarına sunuluyor, ancak bu açık için henüz bir yama yayınlanmadı.
Microsoft’un Labro’nun keşfettiği sıfır gününü düzeltip düzeltmeyeceği belli değil; ancak ACROS Security, bugün erken saatlerde bir mikro yama yayınladı . Mikro yama, şirketin 0patch güvenlik yazılımı aracılığıyla yüklenebiliyor. Acros’un resmi olmayan bu yaması ile saldırganların açığı kullanmalarının önüne geçilebiliyor.