Paylaş
5
Fransız güvenlik araştırmacısı Clément Labro, bir Windows güvenlik aracına yönelik güncelleme üzerinde çalışırken Windows 7 ve Windows Server 2008 R2 işletim sistemlerini etkileyen bir sıfırıncı gün güvenlik açığı tespit etti. Söz konusu güvenlik açığı, RPC Endpoint Mapper ve DNSCache hizmetlerinin yanlış yapılandırılmış iki kayıt defteri anahtarında bulundu.
Labro’ya göre bir saldırgan, Windows Performans İzleme mekanizması tarafından kullanılan bir alt anahtarı etkinleştirmek için, güvenlik açığı bulunan kayıt defteri anahtarlarını değiştirebilme imkanına sahip. "Performans" alt anahtarları genellikle bir uygulamanın performansını izlemek için kullanılır ve yapıları gereği geliştiriciler, performansı izlemek için kendi DLL dosyalarını yükleyerek kendi özel araçlarını kullanabilirler.
İçerikten Görseller
Labro, söz konusu güvenlik açığını, kötü amaçlı yazılımlar tarafından istismar edilebilecek Windows güvenlik yapılandırmalarını kontrol etmeye yarayan PrivescCheck için bir güncelleme yayınladıktan sonra buldu. Normal şartlarda Windows’un güncel sürümlerinde söz konusu DLL’lerin nitelikleri kısıtlanmış ve sınırlı sayıda ayrıcalık tanınmış olsa da Labro’ya göre Windows 7 ve Windows Server 2008'de sistem düzeyinde ayrıcalıklara sahip özel DLL’ler yüklemek hala mümkün.
Çoğu güvenlik araştırmacısı, ciddi bir güvenlik açığı tespit ettiğinde bunu direkt olarak Microsoft’a bildirmiş olsa da Labro, güvenlik açığını tespit ettiğinde iş işten çoktan geçmişti. Bu nedenle Labro, sorunu Microsoft’a bildirmek yerine kişisel blogundan bir makale paylaşmayı tercih etti. Microsoft ise henüz konuyla ilgili bir açıklama yapmış değil.
