ANTİVİRÜSLERDEKİ GÜVENLİK AÇIKLARINA DİKKAT

Antivirüslerin sistemlerimizi korumasını bekliyoruz ancak “Antivirüsüm beni bütün kötülüklerden korur” anlayışı geride kalalı uzun zaman oldu. En azından bir miktar bilinçli olan bir tüketici bile bunun ancak bir hayal olabileceğinin farkında.

CyberArk Labs tarafından yakın zamanda yapılan bir araştırma ise bazı popüler antivirüs yazılımlarında bulunan ve hedef sistemde yetki yükseltme için kullanılabilen güvenlik açıkları hakkında bilgilendirme yaptı.

Yetki yükseltme (Privilege Escalation) nedir?

Normal şartlar altında izin verilmemiş (yetkilendirilmemiş) olan uygulamalar ya da kullanıcılardan korunan, bunlar tarafından erişime izin verilmeyen kaynaklara erişim elde etmek anlamına gelir.

Bunun yapılabilmesi için işletim sistemi, yazılım, uygulama, tasarım hataları ya da yapılandırma denetimindeki kusurlardan faydalanan kişiler uygulama geliştiricisi veya sistem yöneticisi tarafından amaçlanandan daha fazla ayrıcalığa sahip hale gelerek istedikleri eylemleri gerçekleştirebilirler.

Antivirüsler yapıları ve amaçları gereği standart olarak yüksek yetkiler ile çalışır. Antivirüslerin doğru çalışabilmesi için gerekli olan bu yüksek yetki durumu ise kendilerinde bulunan herhangi bir zafiyetin kötüye kullanılabilmesine, zararlı yazılımların yetki yükseltebilmesine ve birden fazla zarar verici eylem gerçekleştirmesine neden olabileceği anlamına gelir.

Yapılan araştırmada Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira ve Microsoft Defender’ın antivirüs çözümleri dahil olmak üzere, birçok antivirüsün çeşitli saldırılarla istismara açık olduğu açıklandı. İyi haber ise bu antivirüs markalarının tümünün araştırmacılar tarafından bildirilen güvenlik açıklarını hemen ele alması oldu.

Araştırmacılar, keşfettikleri birçok sorunun temel nedenlerinden birinin
C: \ ProgramData dizininin varsayılan DACL’leri olduğunu açıkladı.

DACL (İsteğe Bağlı Erişim Kontrol Listesi) nedir?

DACL, Microsoft Windows ailesinde İsteğe Bağlı Erişim Kontrol Listesi anlamına gelir, Active Directory’deki bir nesneye eklenmiş, hangi kullanıcıların ve grupların nesneye erişebileceğini ve nesne üzerinde ne tür işlemler gerçekleştirebileceklerini belirten bir dahili listedir.

Windows 2000 ve Windows NT’de, NTFS kullanılarak biçimlendirilmiş bir birimdeki bir dosya veya klasöre eklenen bir dahili liste benzer bir işleve sahiptir.

Windows’da ProgramData dizini uygulamaların veri depolaması için kullanılır. Her kullanıcının okuma/yazma izinleri %LocalAppData% yerine ProgramData dizininde bulunur ve mevcut giriş yapmış kullanıcı tarafından erişilebilir durumdadır.

CyberArk tarafından yayınlanan analizde, birçok zafiyetin başlangıç olarak kaynağının C: \ ProgramData dizininin varsayılan DACL’leri olduğu belirtiliyor:

“Windows’ta, ProgramData dizini, uygulamalar tarafından bir kullanıcıya özel olmayan verileri depolamak için kullanılır. Bu, belirli bir kullanıcıya bağlı olmayan işlemlerin \ hizmetlerin muhtemelen mevcut oturum açmış kullanıcı tarafından erişilebilen % LocalAppData% yerine ProgramData’yı kullanacağı anlamına gelir. ProgramData’nın tasarım gereği izin verilen DACL’lere sahip olmasının nedeninin bu olduğunu varsayıyorum, böylece her kullanıcı oradaki dizinlere özgürce erişebilir.” (https://www.cyberark.com/resources/threat-research-blog/anti-virus-vulnerabilities-who-s-guarding-the-watch-tower)

Düşük yetkili bir prosesin ProgramData dizininde bir klasör oluşturmasıyla ve bu klasöre, antivirüs gibi, yüksek yetkili bir prosesin erişmesiyle yetki yükseltmek mümkündür.

Yapılan analizde, zafiyetlerin kötüye kullanımını belirleyebilecek koşulların daha iyi anlaşılması için Avira antivirüs çözümünü etkileyen, paylaşılan bir Log Dosyası sorunu hakkında ayrıntılara yer verilmiş. Ayrıca bir antivirüs yazılımıyla ilişkili yetkili bir işlem yürütülmeden önce “C:\ProgramData” altına yeni bir klasör oluşturulabildiği de görülebiliyor.

Uzmanlar, McAfee antivirüs yükleyicisinin “McAfee” klasörü oluşturulduktan sonra çalıştırıldığını, standart kullanıcının dizin üzerinde tam kontrole sahip olduğunu, bunun da yerel kullanıcının bir symlink saldırısı yoluyla yükseltilmiş izinler elde edebileceği anlamına geldiğini belirtti.

Ayrıca, Trend Micro, Fortinet ve diğer antivirüs çözümlerinde, saldırganların uygulama dizinine yerleştirdikten ve yetki yükselttikten sonra zararlı bir DLL’yi yürütmesine izin verebilecek DLL ele geçirme zafiyetleri belirlendi.

Raporda “Bu zafiyetlerin etkileri genellikle yerel sistemin tam yetki yükseltilmesi ile ele geçirilmesine neden olmaktadır.” ve “Güvenlik ürünlerinin yüksek düzeyde yetki sahibi olması nedeniyle, içlerindeki bir hata zararlı yazılımın dayanak noktasını korumasına ve kuruluşa daha fazla zarar vermesine neden olabilir. Burada açıklanan zafiyetlerin istismar edilmesi kolaydır, ancak aynı zamanda yamalanması da kolaydır. “ deniliyor.

Uzmanlar tarafından keşfedilen zafiyetlerin tam listesi aşağıdaki gibi:

  • Kaspersky CVE-2020-25045, CVE-2020-25044, CVE-2020-25043
  • McAfee CVE-2020-7250, CVE-2020-7310
  • Symantec CVE-2019-19548
  • Fortinet CVE-2020-9290
  • Checkpoint CVE-2019-8452
  • Trend Micro CVE-2019-19688, CVE-2019-19689 +3
  • Avira – CVE-2020-13903
  • Microsoft-CVE-2019-1161
  • Avast + F-Secure – Waiting for Mitre

Siber güvenlik konuştuğumuz zaman “bütün kötülüklerden koruyan” tek bir çözüme güvenmek mümkün olmadığından her daim farklı katmanlardan oluşan bir güvenlik sistemi öneriyoruz.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*