Yazar Vuong Doan Minh, Software Mühendisi, OPSWAT
Giriş
Ayrıcalık yükseltme, kötü niyetli aktörlere bir uygulama veya işletim sistemindeki korunan kaynaklara yükseltilmiş erişim hakları sağlayan bir istismar türüdür.
İstismar Açıklaması
CVE-2019-1405, herhangi bir yerel kullanıcının ayrıcalıklarını yerel hizmet kullanıcısına yükseltmek için kullanılabilir.
CVE-2019-1322, yerel hizmet kullanıcısının ayrıcalıklarını yerel sistem kullanıcısına yükseltmek için kullanılabilir.
Bu nedenle, her iki CVE'nin tek bir istismarda birleştirilmesi, herhangi bir yerel kullanıcının ayrıcalıklarının bir sistem kullanıcısına yükseltilmesini sağlar.
Bu güvenlik açıkları, en son yamaya veya 12 Kasım 2019 güvenlik güncelleştirmesi yamasına güncellenmemiş Microsoft Windows 10 1803 ve üzeri sürümleri çalıştıran bilgisayarları etkilemektedir [1][2].
Potansiyel Etki
Kuruluşlar için çok tehlikelidir çünkü bir kuruluş içindeki herhangi bir makineye erişim sağlamanın birçok yolu vardır. Örneğin, bir etki alanı denetleyicisi kullanan bir kuruluşta, herhangi bir kullanıcı, fiziksel erişimi varsa etki alanındaki herhangi bir makinede oturum açabilir. Yalnızca makinedeki kullanıcı hesabıyla sınırlı verilere erişebilir. Ancak bu güvenlik açıklarını kullanarak, yükseltilmiş süreçler oluşturabilir:
- Gizli kaynaklara erişmek için Administration grubuna yeni kullanıcı hesapları ekleyin.
- Daha sonraki istismarlar için kurbanın makinesine arka kapılar ve kötü amaçlı programlar yükleyin.
- Herhangi bir veriyi görüntüleyin, değiştirin veya silin.
OPSWAT Zafiyetleri Tespit Etmenize Nasıl Yardımcı Olur?
MetaDefender Erişimi güvenlik açıklarına sahip cihazları tespit edebilir ve düzeltme talimatları sağlayabilir.
Yükledikten sonra MetaDefender Endpointuç noktalardaki güvenlik açıklarını tespit edecek ve MetaDefender Access'e raporlayacaktır. MetaDefender Access verileri analiz edecek ve herhangi bir güvenlik açığı bulunursa, tespit edilenleri düzeltmek için yardımcı talimatlarla birlikte son kullanıcıları bilgilendirecektir. Yöneticiler ayrıca MetaDefender Access web konsolu aracılığıyla tüm savunmasız cihazları yönetebilir.
MetaDefender Corefile-based vulnerability assessment teknolojisi ile uç noktalardaki ikili dosyalardaki güvenlik açıklarını tespit edebilir. MetaDefender Core , dosyaları taramak için diğer hizmetlerle entegre etmek için kullanılabilecek API'ler sağlar. Örneğin: kuruluşunuzun ağına giren ve çıkan dosyaları taramak.
- Güvenlik açığı olan dosya sistem dosyaları arasındaysa, bu sisteminizi güncellemeniz gerektiğinin bir işaretidir.
- Savunmasız dosya yazılım programının dosyalarıysa, yazılımınızı güncellemeli veya yazılımı geçici olarak kaldırmayı düşünmelisiniz.
- Bir yükleyici güvenlik açığına sahipse, kuruluşunuzdaki hiçbir makineye yüklememelisiniz.
- Projenizdeki bir kütüphane dosyası güvenlik açığına sahipse, kütüphanenin en son yamalı sürümünü bulmalı veya güvenlik açıkları için bir yama yoksa kullanmayı bırakmalısınız.
Nasıl İstismar Edilir?
Bu güvenlik açığı için istismar kodu, Rapid7'nin Metasploit çerçevesinin bir modülü olarak https://www.exploit-db.com/exploits/47684 adresinde bulunabilir [3].
Exploit demosu:
- Saldırgan makine: Kali Linux.
- Kurban makine: Windows 10 1803 x64
- Demo, saldırganın kurbanın makinesine zaten erişmiş olduğunu varsaymaktadır.
İyileştirme
Windows'u, özellikle güvenlikle ilgili güncelleştirmeleri (KB) her zaman güncel tutmanız veya en azından Kasım 2019'a kadar olan güvenlik yamalarını uygulamanız önemle tavsiye edilir.
Referanslar
[1] "CVE-2019-1405 | Windows UPnP Hizmeti Ayrıcalık Açığı". Mevcut: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1405.
[2] "CVE-2019-1322 | Microsoft Windows Elevation of Privilege Vulnerability". Mevcut: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1322.
[3] "Rapid7'nin Metasploit'i". Mevcut: https://www.metasploit.com/
