Geçtiğimiz bir buçuk yıl içinde saldırganlar, hassas, çekirdek düzeyinde bir Windows sürücüsündeki dördü sıfır gün dahil en az beş güvenlik açığından yararlandı.
Bir dizi rapor Kaspersky Securelist tarafından bu hafta yayınlanan rapor, yalnızca birkaç hatayı değil, aynı zamanda Windows Ortak Günlük Dosya Sisteminin (CLFS) mevcut uygulamasındaki daha büyük ve daha sistemik bir sorunu da ortaya koyuyor.
CLFS, kullanıcı veya çekirdek modu yazılım istemcileri için kullanılabilen yüksek performanslı, genel amaçlı bir günlük kaydı sistemidir. Çekirdek erişimi, onu düşük seviyeli sistem ayrıcalıkları arayan bilgisayar korsanları için son derece yararlı hale getiriyor ve performans odaklı tasarımı, son yıllarda özellikle fidye yazılımı aktörlerinin üzerine atladığı bir dizi güvenlik açığını arkasında bıraktı.
Kaspersky Küresel Araştırma ve Analiz Ekibi'nin baş güvenlik araştırmacısı Boris Larin, Dark Reading'e şunları söylüyor: "Çekirdek sürücüleri dosyaları işlerken çok dikkatli olmalı, çünkü bir güvenlik açığı keşfedilirse saldırganlar bundan yararlanabilir ve sistem ayrıcalıkları elde edebilir." Ne yazık ki, "Windows CLFS'deki tasarım kararları, bu CLFS dosyalarının güvenli bir şekilde ayrıştırılmasını neredeyse imkansız hale getirdi ve bu da çok sayıda benzer güvenlik açığının ortaya çıkmasına yol açtı."
Windows CLFS ile İlgili Sorun
Win32k düzeyinde sıfır günler Larin araştırmasında bu durumun tamamen nadir olmadığını kabul etti. Ancak şunu yazdı: "Daha önce hiç bu kadar çok sayıda CLFS sürücüsü açıklarının aktif saldırılarda kullanıldığını görmemiştik ve birdenbire sadece bir yıl içinde bu kadar çok sayıda kişinin yakalandığını gördük. CLFS sürücüsünde ciddi bir sorun mu var?”
Bu yıl CLFS sürücüsüyle ilgili özellikle hiçbir şey değişmedi. Aksine, saldırganlar bunca zamandır bunda neyin yanlış olduğunu şimdi tespit etmiş gibi görünüyor: Performans ve güvenlik arasındaki o kaçınılmaz, sonsuz dengede çok fazla sola doğru eğiliyor.
Larin, "CLFS belki de 'performans için fazla optimize edilmiş' bir sistem" diye yazdı ve sürücünün korumaya göre ona öncelik verdiği çeşitli yolları ayrıntılarıyla anlattı. “Bir dosyaya yazılan çekirdek yapılarının dökümü yerine makul bir dosya formatına sahip olmak daha iyi olurdu. Bu çekirdek yapılarıyla (işaretçilerle) yapılan tüm çalışmalar tam orada, diskten okunan bloklarda gerçekleşir. Orada depolanan bloklarda ve çekirdek yapılarında değişiklikler yapıldığından ve bu değişikliklerin diske aktarılması gerektiğinden, kod, bir şeye erişmesi gerektiğinde blokları tekrar tekrar ayrıştırır.
Şöyle ekledi: "Bütün bu ayrıştırma, bir blok içindeki herhangi bir konuma işaret edebilen göreceli uzaklıklar kullanılarak yapılıyor. Bu uzaklıklardan biri yürütme sırasında bellekte bozulursa sonuçları felaket olabilir. Ancak belki de en kötüsü, diskteki BLF dosyasındaki ofsetlerin, farklı yapıların örtüşmesine ve öngörülemeyen sonuçlara yol açacak şekilde manipüle edilebilmesidir."
Tüm bu tasarım seçeneklerinin toplamı, etkili veri ve olay günlüğünün yanı sıra kolaylıkla yararlanılabilen birçok hatadan oluşur. Yalnızca 2023 yılında CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 — tamamı yüksek önem derecesine sahip, CVSS ölçeğinde 7.8 dereceli — sıfır gün olarak kullanıldı ve ayrıca doğada ilgili herhangi bir kötü amaçlı etkinlik gözlemlenmeden önce yamalanan beşinci bir güvenlik açığı. Kaspersky bunların hepsinin saldırganlar tarafından kullanıldığını tespit etti. Nokoyawa fidye yazılımı grubunun CVE-2023-28252'yi istismar etmesi.
Bir tür yeniden tasarım olmadan CLFS, bilgisayar korsanlarına yükseltme fırsatları sunmaya devam edebilir. Larin, buna hazırlanmak için şunları söylüyor: "Kuruluşlar en iyi güvenlik uygulamalarını uygulamaya odaklanmalı: güvenlik güncellemelerini her zaman zamanında yüklemeli, güvenlik ürünlerini tüm uç noktalara kurmalı, sunucularına erişimi kısıtlamalı ve bilgisayardan gelen anti-virüs tespitlerine büyük önem vermelidir. Sunucular, çalışanları hedef odaklı kimlik avının kurbanı olmayacak şekilde eğitiyor."
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/vulnerabilities-threats/ransomware-attackers-abuse-windows-clfs-driver-zero-days
