Pazartesi, Haziran 17, 2024
Ana SayfaTeknoloji HaberleriYıllardır önemli bir Windows savunmasını rahatsız eden mil genişliğindeki boşluk için görünürde...

Yıllardır önemli bir Windows savunmasını rahatsız eden mil genişliğindeki boşluk için görünürde bir düzeltme yok

Yıllardır önemli bir Windows savunmasını rahatsız eden mil genişliğindeki boşluk için görünürde bir düzeltme yok

Getty Resimleri

Son 15 yılda Microsoft, bilgisayar korsanlarının başarılı bir şekilde bir bilgisayarın kontrolünü ele geçirmek için kontrol etmesi gereken işletim sisteminin çekirdeği olan Windows çekirdeğini güçlendirmek için büyük ilerleme kaydetti. Bu ilerlemenin temel taşı, çekirdek modunda çalışabilen sistem sürücülerinin yüklenmesine yönelik katı yeni kısıtlamaların yürürlüğe girmesiydi. Bu sürücüler, bilgisayarların yazıcılar ve diğer çevre birimleriyle çalışması için çok önemlidir, ancak aynı zamanda bilgisayar korsanlarının kötü amaçlı yazılımlarının Windows’un en hassas bölümlerine sınırsız erişim sağlamasına izin vermek için kullanabilecekleri uygun bir yoldur. Windows Vista’nın gelişiyle, bu tür tüm sürücüler ancak Microsoft tarafından önceden onaylandıktan ve güvenli olduklarını doğrulamak için dijital olarak imzalandıktan sonra yüklenebilirdi.

Geçen hafta, güvenlik firması ESET’ten araştırmacılar, yaklaşık bir yıl önce, Kuzey Kore hükümeti tarafından desteklenen bir bilgisayar korsanlığı grubu olan Lazarus’un, geçen yıl Microsoft’un sürücü imza uygulamasında (DSE) başından beri var olan mil çapında bir boşluktan yararlandığını ortaya çıkardı. Lazarus’un hedefleri kandırarak açmayı başardığı kötü niyetli belgeler, hedefin bilgisayarının idari kontrolünü ele geçirmeyi başardı, ancak Windows’un modern çekirdek korumaları, Lazarus’un çekirdeğe saldırma hedefine ulaşması için zorlu bir engel oluşturdu.

En az dirençli yol

Bu yüzden Lazarus, Windows istismarı oyun kitabındaki en eski hamlelerden birini seçti – BYOVD olarak bilinen bir teknik, kendi savunmasız sürücünüzü getirmenin kısaltması. Lazarus üyeleri, Windows çekirdek korumalarını delmek için bazı egzotik sıfır-günleri bulmak ve geliştirmek yerine, yalnızca yönetici erişimini kullanarak, geçen yıl olabilecek kritik bir güvenlik açığının keşfedilmesinden önce Dell tarafından dijital olarak imzalanmış bir sürücüyü yüklemek için zaten sahip oldukları yönetici erişimini kullandılar. çekirdek ayrıcalıkları elde etmek için kullanılır.

ESET araştırmacısı Peter Kálnai, Lazarus’un biri Hollanda’daki bir havacılık şirketinin çalışanı ve diğeri Belçika’daki bir siyasi gazeteci olmak üzere iki hedefi, onu açan bilgisayarlara bulaşan kötü amaçlı kodlarla bubi tuzağına düşmüş Microsoft Word belgeleri gönderdiğini söyledi. Bilgisayar korsanlarının amacı, Blindingcan adlı gelişmiş bir arka kapı kurmaktı, ancak bunun gerçekleşmesi için önce çeşitli Windows korumalarını devre dışı bırakmaları gerekiyordu. Bu durumda en az dirençli yol, Dell’in özel Bios Yardımcı Programı aracılığıyla Dell bellenimini güncellemekten sorumlu olan buggy Dell sürücüsü dbutil_2_3.sys’i yüklemekti.

Kálnai, Dell sürücüsündeki güvenlik açığını izlemek için kullanılan atamaya atıfta bulunarak, “Doğada ilk kez, saldırganlar tüm güvenlik çözümlerinin izlenmesini kapatmak için CVE-2021-21551’den yararlanabildiler,” diye yazdı. “Yalnızca çekirdek alanında değil, aynı zamanda bir dizi küçük veya belgelenmemiş Windows iç öğesi kullanılarak sağlam bir şekilde yapıldı. Kuşkusuz bu, derin araştırma, geliştirme ve test etme becerileri gerektiriyordu.”

Gazetecinin dahil olduğu davada, saldırı tetiklendi, ancak yalnızca bir kötü amaçlı yürütülebilir dosyayla ESET ürünleri tarafından hızla durduruldu.

Bu, Windows çekirdek korumalarını delmek için CVE-2021-21551’den yararlanan saldırganların belgelenmiş ilk vakası olsa da, hiçbir şekilde bir BYOVD saldırısının ilk örneği değildir. Önceki BYOVD saldırılarının küçük bir örneği şunları içerir:

  • SlingShot adlı kötü amaçlı yazılım, güvenlik firması Kaspersky tarafından keşfedilene kadar altı yıl boyunca virüslü sistemlerde saklandı. 2012’den beri aktif olan SlingShot, Speedfan.sys, sandra.sys ve https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009 gibi sürücülerde 2007’de bulunan güvenlik açıklarından yararlandı. -0824. Bu sürücüler bir kerede dijital olarak imzalanmış olduğundan, güvenlik açıkları iyi bilinmesine rağmen Microsoft’un Windows’un bunları yüklemesini engellemenin geçerli bir yolu yoktu.
  • RobbinHood, GIGABYTE anakart sürücüsü GDRV.SYS’yi yükleyen ve ardından kendi kötü niyetli sürücüsünü yüklemek için bilinen CVE-2018-19320 güvenlik açığından yararlanan fidye yazılımının adı.
  • LoJax, vahşi ortamda kullanıldığı bilinen ilk UEFI rootkit. Kötü amaçlı yazılım, hedeflerin UEFI modüllerine erişmek için geçerli bir dijital imzaya sahip olan RWEverything adlı güçlü bir yardımcı program yükledi.
RELATED ARTICLES

Popüler Konular