Windows kullanıcılarını Mobil Cihaz Yönetimi Hizmeti’nde Windows 10, sürüm 1809 ve sonraki sürümlerini etkileyen yerel ayrıcalık yükseltme (LPE) sıfır gün güvenlik açığından korumak için ücretsiz resmi olmayan düzeltme ekleri yayımlanmıştır.
Güvenlik açığı “İş veya okula erişim” ayarları altında bulunur ve Microsoft tarafından Şubat ayında yayınlanan bir düzeltme ekini atlayarak aşağıdaki gibi izlenen bir bilgi açıklama hatasını ele alıp ÖZGEÇMIŞ-2021-24084.
Bununla birlikte, güvenlik araştırmacısı Abdelhamid Naceri (ilk güvenlik açığını da bildirmiş olan) bu ay, tamamlanmamış düzeltme eki uygulanmış Kusur, genel olarak sonra yönetici ayrıcalıkları kazanmak için de kullanılabilir yeni tespit edilen hatayı açıklama Haziran ayında.
“Yani, olarak HiveNightmare/SeriousSAM bize öğretti, hangi dosyaları alacağınızı ve onlarla ne yapacağınızı biliyorsanız, keyfi bir dosya ifşası yerel ayrıcalık yükseltmeye yükseltilebilir.” 0patch kurucu ortağı Mitja Kolsek Açıkladı Bugün.
“Bunu, Raj Chandel tarafından bu blog yazısı Abdelhamid’in hatasıyla birlikte – ve kodu yerel yönetici olarak çalıştırabilmek.”
Microsoft büyük olasılıkla Naceri’nin Haziran açıklamasını da fark etse de, şirket bu LPE hatasını yamalayarak Windows 10 sistemlerini en son Kasım 2021 güvenlik güncelleştirmeleriyle saldırılara maruz kalıyor.
Neyse ki, saldırganlar bu güvenlik açığından yalnızca çok özel iki koşul karşılanırsa yararlanabilir:
- C sürücüsünde sistem koruması etkinleştirilmeli ve en az bir geri yükleme noktası oluşturulmalıdır. Sistem korumasının varsayılan olarak etkin veya devre dışı olması çeşitli parametrelere bağlıdır.
- Bilgisayarda en az bir yerel yönetici hesabının etkinleştirilmesi veya en az bir “Yönetici” grup üyesinin kimlik bilgilerinin önbelleğe alınması gerekir.
Etkilenen tüm Windows 10 sistemleri içinoficial olmayan yamalar
Microsoft bu güvenlik sorununu gidermek için güvenlik güncelleştirmeleri yayınlayana kadar (büyük olasılıkla gelecek ayın Düzeltme Eki Salı günü sırasında), 0patch mikro düzeltme hizmeti etkilenen tüm Windows 10 sürümleri için ücretsiz ve resmi olmayan yamalar yayımladı (Windows 10 21H2 de etkilendi, ancak henüz 0patch tarafından desteklenmiyor):
- Windows 10 v21H1 (32 ve 64 bit) Kasım 2021 Güncelleştirmeleri ile güncellendi
- Windows 10 v20H2 (32 ve 64 bit) Kasım 2021 Güncelleştirmeleri ile güncellendi
- Windows 10 v2004 (32 ve 64 bit) Kasım 2021 Güncelleştirmeleri ile güncellendi
- Windows 10 v1909 (32 ve 64 bit) Kasım 2021 Güncelleştirmeleri ile güncellendi
- Windows 10 v1903 (32 ve 64 bit) Kasım 2021 Güncelleştirmeleri ile güncellendi
- Windows 10 v1809 (32 ve 64 bit) Mayıs 2021 Güncelleştirmeleri ile güncellendi
“Güvenlik açığı bulunan işlevsellik orada bulunmadığından, Windows Sunucuları etkilenmez. Sunucularda bazı benzer tanılama araçları olsa da, bunlar başlatıcı kullanıcının kimliği altında yürütülüyor ve bu nedenle yararlanılamaz.” diye ekledi.
“Windows 10 v1803 ve eski Windows 10 sürümleri de etkilenecek gibi görünmüyor. ‘İşe veya okula erişim’ işlevine sahip olsalar da, farklı davranır ve bu şekilde yararlanılamaz. Windows 7’de ‘İş veya okula erişim’ işlevi yok.”
Abdelhamid Naceri’ye teşekkür ederiz.@KLINIX5) bu sorunu bulmak ve bir mikro düzeltme kartı oluşturmamıza ve kullanıcılarımızı korumamıza izin veren ayrıntıları paylaşmak için.
— 0patch (@0patch) 26 Kasım 2021, Kasım 2021, Bu
Mikro düzeltme eki nasıl kurulur
Resmi olmayan düzeltme ekini sisteminize yüklemek için, 0patch hesabı kaydetme ve 0patch aracısı.
Aracıyı cihazınızda başlattıktan sonra, düzeltme eki yeniden başlatma gerektirmeden otomatik olarak (engellemek için etkinleştirilmiş özel düzeltme eki uygulama ilkeleri yoksa) uygulanır.
Bu, Naceri’nin başka bir hata için düzeltme ekleri bulmasından sonra bu ay bir mikro düzeltme notu alan ikinci Windows sıfır günüdür (ÖZGEÇMIŞ-2021-34484) windows kullanıcı profili hizmetinde tüm Windows sürümlerinde ayrıcalıkları arttırmak için atlanabilir, tamamen yamalı olsa bile.
Microsoft’un da düzeltme eki yapması gerekiyor Microsoft Windows Installer’da üçüncü bir sıfır gün hatası Naceri tarafından yayınlanan bir kavram kanıtı (PoC) istismarı ilee hafta sonu.
Başarıyla yararlanılırsa, sıfır gün saldırganların en son Windows sürümlerini çalıştıran güncel cihazlarda SYSTEM ayrıcalıkları elde etmelerini sağlar, Windows 10, Windows 11 ve Windows Server 2022 dahil.
Kötü amaçlı yazılım oluşturucular o zamandan beri PoC istismarını test etmek başladı düşük hacimli saldırılarda muhtemelen gelecekteki tam gelişmiş kampanyalar için test etmeye ve ayarlamaya odaklanmıştır.