Microsoft'un rekor sayıda güvenlik yaması yayınlamasının hemen ardından, bir araştırmacı düşük ayrıcalıklı Windows hesaplarının yönetici hesaplarında hassas değişiklikler yapmasına olanak tanıyan bir istismar kodu yayınladı. Birden fazla araştırmacının çalıştığını doğruladığı bu istismar, Microsoft'u yeniden aceleyle yama hazırlamaya zorluyor. Anonim araştırmacı NightmareEclypse, hata raporlarının yetersiz işlendiğini belirterek bugüne kadar dokuz farklı istismar yayınladı; bunların sonuncusu olan HiveLegacy ise Salı günü duyuruldu.
HiveLegacy, Windows Kullanıcı Profili Hizmeti'ndeki (User Profile Service) bir güvenlik açığını hedef alan bir ayrıcalık yükseltme istismarıdır. Bu açık, sınırlı sistem haklarına sahip kullanıcıların (ve daha fazla çaba ile işlemlerin), bir yönetici kullanıcının hesabını, sınıflar kayıt defteri kovanını (classes registry hive) değiştirerek tehlikeye atmasına olanak tanır. Bu kayıt defteri kovanı, Windows Gezgini'nde belirli dosya türlerine tıklandığında doğru uygulamanın açılmasını sağlar.
En azından, saldırganın yönetici hesabıyla ilişkili Windows kayıt defterini değiştirebileceği anlamına gelir. Mevcut haliyle istismar, saldırganın başka bir kullanıcının kimlik bilgilerini bilmesini gerektirir. Bu hesabın yönetici olması gerekmez. Ayrıca saldırgan, makinedeki üçüncü bir hesabın kullanıcı adını da bilmelidir; bu hesap da yönetici olabilir veya olmayabilir.
NightmareEclypse, raporunda yer alan kanıt amaçlı kodun, saldırganların kötü niyetli kullanımını engellemek için sadeleştirildiğini belirtti. Ancak uzmanlar, bu tür istismarların kısa sürede daha gelişmiş versiyonlarının ortaya çıkabileceği konusunda uyarıyor. Microsoft'un bu açığı kapatmak için acil bir güncelleme yayınlaması bekleniyor.
Bu olay, Microsoft'un güvenlik açığı raporlama sürecine ilişkin tartışmaları da yeniden alevlendirdi. NightmareEclypse, daha önceki raporlarının yetersiz yanıtlandığını iddia ederek istismarları kamuya açıklama yoluna gitmişti. Şirketin, araştırmacılarla daha etkili iletişim kurması ve açıkları daha hızlı kapatması gerektiği vurgulanıyor.
Nasıl Önlem Alınmalı?
Kullanıcıların, Microsoft'un yayınlayacağı güvenlik güncellemelerini takip etmeleri ve mümkün olan en kısa sürede uygulamaları önemle tavsiye edilir. Ayrıca, hesaplarında güçlü parolalar kullanmak ve çok faktörlü kimlik doğrulamayı etkinleştirmek gibi temel güvenlik önlemleri, bu tür istismarların etkisini azaltmaya yardımcı olabilir.
Kaynak: arstechnica.com