Güvenlik araştırmacısı SandboxEscaper, Windows’ta bulduğu yeni bir (yerel) yetki yükseltme açığıyla sahalara geri döndü.
Çevrimiçi takma adı olarak SandboxEscaper‘ı kullanan anonim bir hacker, Windows 10 sistemleri etkileyen yeni bir güvenlik açığı için kanıtlarıyla (PoC) birlikte exploit kodunu yayımladı. SandboxEscaper bu açıkla birlikte , 1 yıl içerisindeki 5. zafiyetini bulmuş oldu.
Github‘da yayımlanan yeni Windows 10 zero-day açığı, yereldeki bir saldırganın veya bir zararlı yazılımın, hedeflenen makinelerde yönetimsel sistem ayrıcalıklarını kullanarak kod çalıştırıp sistem üzerinde yetki yükseltmesine yol açıyor.
Bulunan bu yeni zafiyet, Windows kullanıcılarının, programların veya komut dosyalarının belirli zaman aralıklarında başlatılmasını planlayan bir program olan Görev Zamanlayıcısı‘nın üzerinde bulunuyor.
SandboxEscaper’ın exploit kodu, Görev Zamanlayıcısı’ndaki SchRpcRegisterTask‘ı kullanarak, program içerisinde sunucuya görevleri kaydettiren, izinleri doğru bir şekilde denetlemeyen ve bu nedenle isteğe bağlı DACL (isteğe bağlı erişim denetim listesi) izinlerini düzenleyerek çalışıyor.
SandboxEscaper, “Bu kod, RPC ile, görev zamanlayıcı hizmeti tarafından sunulan SchRpcRegisterTask‘ı çağıracaktır.” dedi.
Zararlı yazılım içeren bir program veya düşük hak ve yetkilere sahip bir saldırgan, SYSTEM ayrıcalıklarını elde etmek için zararlı bir şekilde yapılandırılan bir .job dosyasını çalıştırabilir ve sonunda saldırganın hedef sisteme tam yetkilerle erişmesine izin verebilir.
SandboxEscaper, yayımlamış olduğu Windows zero-day’in exploit kodunun kanıtını ise bu videoyla paylaştı.
Mevcut güvenlik açığının, 32/64 bit Windows 10 sistemlerle birlikte Windows Server 2016 ve 2019‘un tamamen güncel sürümlerinde başarıyla çalıştığı test edildi ve onaylandı.
Daha Fazla Windows Zero-Day Exploit’i Gelecek
Tüm bu zafiyetlerin yanında, SandboxEscaper, Windows üzerinde hala açıklamadığı 4 zafiyet daha bulduğunu, bunların üçünün yetki yükseltme sağladığını ve dördüncünün ise saldırganların sandbox güvenliklerini atlatmasına izin verdiğini söyledi.
Windows’un yayımlamış olduğu yeni güncellemenin üzerinden daha bir hafta geçmiş olmasına rağmen bu tarz güvenlik açıklarının keşfedilmesi kullanıcılar için büyük bir tehdit oluşturuyor. Bu açıklar için henüz bir güncelleme gönderilmediği için kullanıcılar tehlike altında.
Windows 10 kullanıcılarının, Microsoft’un acil durum güncellemesi göndermediği sürece, önümüzdeki aya kadar bu açığın düzeltilmesini beklemesi gerekiyor.
Bir yanıt yazın