İşletim sistemleri ve diğer yazılımlarda zaman zaman güvenlik açıkları yaşandığını görüyoruz. Bu açıkların ne kadar kritik önemde oldukları ise değişiklik gösterebiliyor. Büyük ve pek çok farklı cihazda kullanılan programların açıklarının olmama ihtimaliyse neredeyse yok.
Öte yandan Windows 10’un yeni ortaya çıkan açıkları hem sayıca oldukça fazla hem de istismar edilmeleri oldukça kolay gözüküyor. 300 kadar farklı güvenlik açığı keşfedilirken bu açıkları basit bir VBScript ile tetiklemek mümkün.
PwC UK uyardı
PwC Birleşik Krallık’tan güvenlik araştırmacısı olan Wietze Beukema, yaptığı açıklamada 300 kadar Windows 10 yürütülebilir dosyasının DLL ele geçirme saldırılarına açık olduğunu ifade etti. Açıklamada, System32 dosyasının göreceli yol DLL ele geçirmeye açık olduğu ifade edilirken basit bir VBScript ile bu uygulama dosyalarının kullanılabileceği, hatta UAC’nin tamamen baypas edilebileceği ifade edildi.
Bu açıklar, DLL ele geçirme olarak adlandırılan saldırıları gösteriyor. Bu yöntemde saldırganlar, geçerli bir programın kendi istedikleri bir DLL’yi çalıştırmasına neden oluyor. Bu da genellikle zararlı içerik amacıyla kullanılıyor.
Beukema’nın blog gönderisinde yer alan gönderide, DLL değiştirme, DLL proxyleme, izin hızlandırma, DLL arama sırası ele geçirme, DLL yeniden yönlendirme gibi pek çok farklı tekniğin kullanılabildiği ifade ediliyor. Tabii bu şekilde bir kullanım için saldırganların teknik becerilerinin yüksek olması gerekiyor.
Örnek saldırı gösterildi
Gönderide ayrıca bir bilgisayarın System32 klasöründe yer alan bir bilgisayara odaklanılarak örnek bir saldırının nasıl olduğu gösterildi. Bir programın çalışması sırasında kullanılan DLL’leri sıralayan güvenlik uzmanı, her bir DLL’nin saldırıya açık olduğunu ifade etti.
Araştırmacıya göre bu tür saldırılardan korunmak için düzgün yüklenen DLL’lerin özel olarak bir klasöre yazılmasını sağlamak gerekiyor. Böylece saldırganların işi oldukça zorlaşıyor. Ayrıca her DLL saldırının hedefi olmuyor.
Ayrıca Microsoft Kullanıcı Hesap Kontrolü (UAC) üzerinde dosyalara müdahale edilebilmesi durumunda, normalde karşımıza çıkan “Bu uygulamanın bilgisayardaki dosyalarda değişiklik yapmasına izin veriyor musunuz?” ifadesini de göremiyoruz, zira arka planda izinler saldırgan tarafından işlenebiliyor.
Bu tür saldırılardan korunmak için ise Windows dosyalarındaki aktivitelere bakmak, UAC ayarlarını “daima haberdar et” olarak ayarlamak son kullanıcı açısından alınabilecek önlemler arasında yer alıyor. Ayrıca DLL oluşum bölgelerini takip etmek ve beklenmedik yerlerde yüklenip yüklenmediklerini kontrol etmek de bir alternatif olarak göze çarpıyor.
