Pazartesi, Şubat 10, 2025
Ana SayfaTeknoloji HaberleriKritik Windows kod yürütme güvenlik açığı şimdiye kadar fark edilmedi

Kritik Windows kod yürütme güvenlik açığı şimdiye kadar fark edilmedi

İkili kodda kurukafa ve çapraz kemikler

Araştırmacılar yakın zamanda, 2017’de dünya çapında bilgisayar ağlarını kapatan fidye yazılımı WannaCry’ı patlatmak için kullanılan farklı bir Windows güvenlik açığının adı olan EternalBlue’ya rakip olma potansiyeline sahip bir Windows kod yürütme güvenlik açığı keşfettiler.

EternalBlue gibi, CVE-2022-37958 de en son güvenlik açığı izlendiğinden, saldırganların kimlik doğrulama gerektirmeden kötü amaçlı kod yürütmesine olanak tanır. Ayrıca, EternalBlue gibi, kurtlanabilir, yani tek bir açıktan yararlanma, diğer savunmasız sistemlerde kendi kendini kopyalayan açıklardan yararlanma zincirleme reaksiyonunu tetikleyebilir. EternalBlue’nun solucanlığı, WannaCry ve diğer bazı saldırıların hiçbir kullanıcı etkileşimi gerektirmeden birkaç dakika içinde tüm dünyaya yayılmasını sağladı.

Ancak yalnızca SMB veya sunucu ileti bloğu, dosya ve yazıcı paylaşımı ve benzer ağ etkinlikleri için bir protokol kullanılırken yararlanılabilen EternalBlue’nun aksine, bu en son güvenlik açığı çok daha geniş bir ağ protokolü yelpazesinde mevcuttur ve saldırganlara daha fazla esneklik sağlar. eski güvenlik açığından yararlanırken vardı.

Kod yürütme güvenlik açığını keşfeden IBM güvenlik araştırmacısı Valentina Palmiotti bir röportajda, “Bir saldırgan, kimlik doğrulaması yapan herhangi bir Windows uygulama protokolü aracılığıyla güvenlik açığını tetikleyebilir,” dedi. “Örneğin güvenlik açığı, bir SMB paylaşımına bağlanmaya çalışıldığında veya Uzak Masaüstü aracılığıyla tetiklenebilir. Diğer bazı örnekler, İnternet’e maruz kalan Microsoft IIS sunucularını ve Windows Kimlik Doğrulaması’nın etkinleştirildiği SMTP sunucularını içerir. Elbette yama yapılmadan bırakılırsa dahili ağlarda da kullanılabilirler.”

Microsoft, CVE-2022-37958’i güvenlik düzeltmelerinin aylık Salı Yaması sunumu sırasında Eylül ayında düzeltti. Ancak o sırada Microsoft araştırmacıları, güvenlik açığının yalnızca potansiyel olarak hassas bilgilerin ifşasına izin verdiğine inanıyorlardı. Bu nedenle Microsoft, güvenlik açığına “önemli” bir atama verdi. Yama uygulandıktan sonra güvenlik açıklarını analiz etme rutin sürecinde Palmiotti, bunun EternalBlue’nun yaptığı gibi uzaktan kod yürütülmesine izin verdiğini keşfetti. Geçen hafta Microsoft, atamayı kritik olarak revize etti ve EternalBlue’ya verilenle aynı önem derecesini 8.1 olarak verdi.

CVE-2022-37958, bir istemci ve sunucunun kimlik doğrulama araçları üzerinde anlaşmasına izin veren NEGOEX olarak kısaltılan bir güvenlik mekanizması olan SPNEGO Extended Negotiation’da bulunur. Örneğin, iki makine Uzak Masaüstü kullanılarak bağlandığında, SPNEGO, NTLM veya Kerberos gibi kimlik doğrulama protokollerinin kullanımı konusunda anlaşmalarına izin verir.

CVE-2022-37958, bir hedef kimlik doğrulaması yapan bir Windows uygulama protokolü kullanırken, saldırganların NEGOEX protokolüne erişerek uzaktan kötü amaçlı kod yürütmesine olanak tanır. Etkilenen protokoller listesi, SMB ve RDP’nin yanı sıra, SPNEGO anlaşması etkinleştirilmişse Basit İleti Aktarım Protokolü (SMTP) ve Köprü Metni Aktarım Protokolü’nü (HTTP) de içerebilir.

Potansiyel olarak hafifletici faktörlerden biri, CVE-2022-37958 için bir yamanın üç aydır mevcut olmasıdır. EternalBlue, aksine, başlangıçta NSA tarafından sıfır gün olarak kullanıldı. NSA’nın son derece silahlı istismarı, daha sonra kendilerine Shadow Brokers adını veren gizemli bir grup tarafından vahşi doğaya salındı. NSA tarihindeki en kötü sızıntılardan biri olan sızıntı, dünyanın dört bir yanındaki bilgisayar korsanlarına ulus-devlet düzeyinde güçlü bir istismara erişim sağladı.

Palmiotti, iyimserlik için ama aynı zamanda risk için de neden olduğunu söyledi: “EternalBlue bir 0-Gün iken, şans eseri bu, 3 aylık yama hazırlık süresi olan bir N-Günüdür,” dedi Palmiotti. “Yıllar içinde EternalBlue ile istismar edilen MS17-010 gibi diğer büyük güvenlik açıklarında gördüğümüz gibi, bazı kuruluşlar birkaç aydır yamaları yavaş dağıtıyor veya internete açık sistemlerin doğru bir envanterine sahip değil ve yama sistemlerini kaçırıyor. tamamen.”

RELATED ARTICLES

Popüler Konular