Geçtiğimiz bir buçuk yıl içinde saldırganlar, hassas, çekirdek düzeyinde bir Windows sürücüsündeki dördü sıfır gün dahil en az beş güvenlik açığından yararlandı.
Bir dizi rapor Kaspersky’nin Securelist’i tarafından bu hafta yayınlanan rapor, yalnızca birkaç hatayı değil, aynı zamanda Windows Ortak Günlük Dosya Sistemi’nin (CLFS) mevcut uygulamasındaki daha büyük ve daha sistemik bir sorunu da ortaya koyuyor.
CLFS, kullanıcı veya çekirdek modu yazılım istemcileri için kullanılabilen yüksek performanslı, genel amaçlı bir günlük kaydı sistemidir. Çekirdek erişimi, onu düşük seviyeli sistem ayrıcalıkları arayan bilgisayar korsanları için son derece yararlı hale getiriyor ve performans odaklı tasarımı, son yıllarda özellikle fidye yazılımı aktörlerinin üzerine atladığı bir dizi güvenlik açığını arkasında bıraktı.
Kaspersky Küresel Araştırma ve Analiz Ekibi’nin baş güvenlik araştırmacısı Boris Larin, Dark Reading’e şunları söylüyor: “Çekirdek sürücüleri dosyaları işlerken çok dikkatli olmalı, çünkü bir güvenlik açığı keşfedilirse saldırganlar bundan yararlanabilir ve sistem ayrıcalıkları elde edebilir.” Ne yazık ki, “Windows CLFS’deki tasarım kararları, bu CLFS dosyalarının güvenli bir şekilde ayrıştırılmasını neredeyse imkansız hale getirdi ve bu da çok sayıda benzer güvenlik açığının ortaya çıkmasına neden oldu.”
Windows CLFS ile İlgili Sorun
Win32k düzeyinde sıfır günler Larin araştırmasında bunların tamamen nadir olmadığını kabul etti. Ancak şunu yazdı: “Daha önce aktif saldırılarda bu kadar çok sayıda CLFS sürücüsü açıklarının kullanıldığını görmemiştik ve birdenbire bunların birçoğu yalnızca bir yıl içinde yakalandı. CLFS sürücüsünde ciddi bir sorun mu var?”
Bu yıl CLFS sürücüsüyle ilgili özellikle hiçbir şey değişmedi. Aksine, saldırganlar bunca zamandır bunda neyin yanlış olduğunu şimdi tespit etmiş gibi görünüyor: Performans ve güvenlik arasındaki o kaçınılmaz, sonsuz dengede çok fazla sola doğru eğiliyor.
Larin, “CLFS belki de ‘performans için çok fazla optimize edilmiş'” diye yazdı ve sürücünün korumaya göre ona öncelik verdiği çeşitli yolları ayrıntılarıyla anlattı. “Bir dosyaya yazılan çekirdek yapılarının bir dökümü yerine makul bir dosya formatına sahip olmak daha iyi olurdu. Bu çekirdek yapılarıyla (işaretçilerle) yapılan tüm çalışmalar, diskten okunan bloklarda tam orada gerçekleşir. Çünkü değişiklikler, Bloklar ve çekirdek yapıları burada depolanıyor ve bu değişikliklerin diske aktarılması gerekiyor, kod bir şeye erişmesi gerektiğinde blokları tekrar tekrar ayrıştırıyor.”
Şöyle ekledi: “Bütün bu ayrıştırma, bir blok içindeki herhangi bir konuma işaret edebilen göreceli uzaklıklar kullanılarak yapılıyor. Eğer bu uzaklıklardan biri yürütme sırasında bellekte bozulursa, sonuçlar felaket olabilir. Ama belki de hepsinden kötüsü, bloktaki uzaklıklar Diskteki BLF dosyası, farklı yapıların üst üste bineceği şekilde değiştirilebilir ve bu da öngörülemeyen sonuçlara yol açabilir.”
Tüm bu tasarım seçeneklerinin toplamı, etkili veri ve olay günlüğünün yanı sıra kolaylıkla yararlanılabilen birçok hatadan oluşur. Yalnızca 2023 yılında CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 — tamamı yüksek önem derecesine sahip, CVSS ölçeğinde 7,8 dereceli — sıfır gün olarak kullanıldı ve ayrıca doğada ilgili herhangi bir kötü amaçlı etkinlik gözlemlenmeden önce yamalanan beşinci bir güvenlik açığı. Kaspersky bunların hepsinin saldırganlar tarafından kullanıldığını tespit etti. Nokoyawa fidye yazılımı grubunun CVE-2023-28252’yi istismar etmesi.
Bir tür yeniden tasarım olmadan CLFS, bilgisayar korsanlarına yükseltme fırsatları sunmaya devam edebilir. Larin, buna hazırlanmak için “kuruluşların en iyi güvenlik uygulamalarını uygulamaya odaklanması gerektiğini” öne sürüyor: güvenlik güncellemelerini her zaman zamanında yüklemeli, güvenlik ürünlerini tüm uç noktalara kurmalı, sunucularına erişimi kısıtlamalı ve bilgisayardan gelen anti-virüs tespitlerine çok dikkat etmelidir. Sunucular, çalışanları hedef odaklı kimlik avının kurbanı olmayacak şekilde eğitiyor.”
