Yeni Bir Windows Zero-Day Açığı Daha

İki ay önce Microsoft Windows Görev Zamanlayıcısı için bir zero-day (sıfır gün) açığı yayınlayan, Twitter’da SandboxEscaper isimli güvenlik araştırmacısı, ikinci kez bir Windows zero-day açığı duyurdu. Zaafiyete ait PoC (Proof of Concept) kodunu Github’da yayınlayan SandboxEscaper, kodu daha geniş bir kitleye ulaşması amacıyla Twitter hesabı üzerinden paylaştı. PoC kodunu güvenlik açığının varlığını ve istismar edilebildiğini kanıtlayan kod olarak tanımlayabiliriz.

 

 

 

 

 

 

 

 

PEKİ ZERO-DAY (SIFIR GÜN) AÇIĞI NEDİR?

Zero-day açıkları daha önceden bilinmeyen, tespit edilmemiş ciddi saldırılara yol açabilen zayıflıklar olarak tanımlanabilir. Zero-day açıkları saldırı gerçekleşene kadar geliştirici tarafından anlaşılması zor olan zafiyetlerdir. Yazılımı geliştiren kişilerin açığı fark edip bir yama ya da düzeltme yayınlamasına kadar geçen sürede gerçekleştiren saldırılar zero-day saldırılarıdır. Yaması yapılana kadar ya da bir çözümü bulunana kadar bu saldırılar zero-day yani sıfır-gün saldırıları olarak adlandırılır. Bu süreci aşama aşama anlatacak olursak:

  • Şirketin geliştiricileri tarafından bir yazılım geliştirilir fakat bu yazılım farkında olmadıkları bir güvenlik açığı içerir.
  • Saldırganların bu güvenlik açığını geliştiriciden önce fark edip ya da bir geliştiricinin düzetmesine fırsat vermeden istismar eder.
  • Zaafiyet hala istismar edilmeye müsaitse, saldırganlar tarafından exploit kodu yazılarak halka açık şekilde yayınlanıp uygulanır.
  • Geliştiriciler zaafiyetin farkına varır ve hemen zafiyeti giderecek bir yama geliştirir.
  • Son olarak bulunan bu güvenlik açığı kapatılarak etkisiz hale getirilir.

Yama kullanılmaya başladığı andan itibaren bu açıklık zero-day olmaktan çıkar.

 SİSTEMİNİZ BU AÇIKTAN NASIL ETKİLENİYOR?

Yeni Windows zero-day açığı, uygulamalar arasında veri arabuluculuğu sağlayan yerel bir hizmet olan Microsoft Veri Paylaşımını etkiliyor(dssvc.dll). Yani PoC kodu özellikle, kullanıcının yönetici izinlerine ihtiyaç duyacağı dosyaları silmek ve sahip olduğu izinleri artırmak için yazılmıştır. PoC’u inceleyen uzmanlar zaafiyetin Windows PCI sürücüsünü(pci.sys) silerek işletim sistemini çalışamaz hale getirdiğini ve yeniden çalışır hale gelmesi için sistem geri yüklemeyi zorunlu kıldığını belirtti. Ayrıca ,0Patch’in kurucularından Mitja Kolsek, kodun sistemi eski hale döndürebileceğiniz bir sanal makinada çalıştırılması gerektiği konusunda kullanıcıları uyardı.

Microsoft Veri Paylaşım Hizmeti’nin sadece Windows 10’un Ekim 2018 güncellemesi de dahil olmak üzere tüm sürümlerinde ve Server 2016 hatta yeni Server 2019’da bulunmasından dolayı, güvenlik uzmanları daha önceki sürümlerin zero-day açığından etkilenmediği kanaatinde.

KORSANLAR AÇIKTAN CİDDİ ORANDA YARARLANABİLİR Mİ?

 

 

 

 

 

 

 

 

Daha önce yayınlanan zero-day açığından zararlı yazılım geliştiricileri hemen faydalanmıştı. Ancak Güvenlik araştırmacısı Kevin Beaumont bu hatadan anlamlı bir şekilde yararlanmanın zor olacağını düşünüyor. Aslında işletim sistemi dosyalarının silinmesi ve izinlerin yükseltilmesi olayı riskli olsa da SandboxEscaper hatanın düşük kaliteli olduğunu söylüyor.

HATA GİDERİLDİ Mİ?

Tam anlamıyla hata henüz giderilmedi fakat geçici olarak Kolsek firması ilk zero-day açığında yaptığı gibi Microsoft resmi bir düzenleme yapana kadar olası tehditlere karşı 0Patch olarak bilinen ürünlerine bir güncelleme yaptı. Açığın duyurulmasından 7 saat sonra dosyaları silme işlemi başarıyla engellendi. Kolsek ve ekibi şu anda etkilenen tüm Windows sürümlerine “micro-patch” yerleştirme üzerinde çalışıyor.

 

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*