Açığın Teknik Detayları
CVE-2024-43452 (CVSS 7.5), Windows Registry’de bulunan bir yetki yükseltme açığıdır. Google Project Zero araştırmacılarından Mateusz Jurczyk tarafından keşfedilen bu güvenlik açığı, Windows Registry hive bellek yönetimindeki bir tasarım hatasından kaynaklanmaktadır. Bu açıklık, saldırganların SYSTEM seviyesinde yetki elde etmesine olanak tanıyabilir.
Bu güvenlik açığı, işletim sistemlerindeki dosya değişmezliğine ilişkin yanlış varsayımların tehlikelerini ortaya koymaktadır. Açık, özellikle “double-fetch” olarak adlandırılan bir süreçte ortaya çıkmaktadır. Registry hives yüklenirken, bellek baskısı altında aynı bellek sayfalarının iki kez çağrılması, tahliye edilmesi ve tekrar yüklenmesi mümkündür. Eğer kötü niyetli bir SMB sunucusu, bu iki talebe farklı verilerle yanıt verirse, çekirdek tarafından yapılan varsayımlar bozulabilir ve bellek bozulması meydana gelebilir.
Jurczyk, bu açığın nasıl sömürülebileceğini şu şekilde açıklamıştır:
- Kötü niyetli hive dosyasını bir SMB sunucusunda barındırma: Saldırgan, manipüle edilmiş bir hive dosyasını bir uzak SMB sunucusunda bulundurur.
- Registry hive yüklemesi: Hedef sistem, bellek baskısı altında bu hive dosyasını yüklediğinde bellek çağrıları ve tahliyeleri tetiklenir.
- Manipüle edilmiş verilerle yanıt verme: Kötü niyetli sunucu, farklı verilerle yanıt vererek registry yapısını bozar ve bellek bozulmasına neden olur.
Saldırganlar, FileOffset ve Size gibi parametreleri kontrol ederek bu güvenlik açığını kullanabilir ve SYSTEM yetkisi elde edebilir.
Etkilenen Sürümler ve Dosyalar
Bu açık, özellikle Windows 11 23H2 sürümünde, Temmuz 2024 yamaları yüklü sistemlerde doğrulanmıştır. Jurczyk’in çalışması, Linux tabanlı bir SMB sunucusu ve Python scriptleri ile manipüle edilen bir hive dosyası üzerinden bu açığı kanıtlamıştır. Açığın başarılı bir şekilde çalıştırılması, sistemin bellek tüketimine ve fiziksel bellek yapılandırmasına oldukça bağımlıdır.
Çözüm ve Öneriler
Microsoft, bu güvenlik açığını Kasım 2024 Patch Tuesday güncellemeleri ile yamalamıştır. Bu nedenle, kullanıcıların ve sistem yöneticilerinin aşağıdaki adımları izlemesi önemlidir:
- Yamaların Yüklenmesi: İlgili güncelleştirmeleri derhal yükleyin.
- Proaktif İzleme: SMB trafiğini izleyerek şüpheli faaliyetleri tespit edin.
- Registry İşlemlerine Erişim Kısıtlaması: Registry ile ilgili operasyonlara sınırlama getirerek olası istismar risklerini azaltın.
- Bellek Tüketimini Optimizasyon: Özellikle sanal makinelerde bellek tahsisini düzenleyerek açıkların sömürülme olasılığını düşürün.
Sonuç ve Öneriler
CVE-2024-43452, Windows sistemlerindeki bellek yönetimi tasarımındaki eksikliklerin ne kadar ciddi sonuçlar doğurabileceğini gözler önüne sermektedir. Bu tür açıklıkların istismarını önlemek için düzenli güncelleme ve proaktif güvenlik önlemleri kritik öneme sahiptir. Kurumların, özellikle SMB tabanlı trafiği izleyerek ve kontrol ederek sistemlerini daha güvenli hale getirmesi gerekmektedir.
Birlikte Güvende Olalım!
#CyberSecurity #NetworkSecurity #WindowsVulnerability
About the Author
