Microsoft, Google mühendisi tarafından keşfedilen 'yeni hata sınıfını' düzeltecek

  • Oct 19, 2023

Birkaç hafta içinde yayınlanması planlanan Windows 10 19H1'e dahil edilecek düzeltmeler.

windows-logo.png

Windows işletim sisteminin bir sonraki büyük sürümü olan Windows 10 19H1, bir dizi düzeltme içerecektir Microsoft'un "yeni hata sınıfı" olarak adlandırdığı ve bir Google güvenliği tarafından keşfedilen şey için mühendis.

Güvenlik

  • Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
  • Telefonunuzdaki casus yazılımları bulma ve kaldırma
  • En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
  • Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?

Yamalar olası saldırıları önlemek için yalnızca bazı Windows çekirdek kodlarını düzeltmekle kalmaz, aynı zamanda Google ve Microsoft güvenlik ekipleri arasındaki neredeyse iki yıllık işbirliğinin sonu; bu, dünyada nadir görülen bir olay. kendisi.

Bu "yeni hata sınıfı" nedir

Tüm bunlar 2017 yılında, Google'ın Project Zero elit hata avlama ekibinin bir parçası olan güvenlik araştırmacısı James Forshaw'un Windows sistemlerine saldırmanın yeni bir yolunu bulması ile başladı.

Froshaw, normal izinlere (kullanıcı modu) sahip bir Windows sisteminde çalışan kötü amaçlı bir uygulamanın yerel bir sürücüye erişebileceğini ve Windows G/Ç Yöneticisi (sürücüler ile Windows çekirdeği arasındaki iletişimi kolaylaştıran bir alt sistem) kötü amaçlı komutları en yüksek Windows ayrıcalıklarıyla (çekirdek modu) çalıştırmak için kullanılır.

Forshaw'un keşfettiği şey, daha önce belgelenmemiş bir ayrıcalık yükseltme (EoP) saldırısı gerçekleştirmenin yeni bir yoluydu.

Ancak güvenlik araştırmacılarının daha sonra "düzgün" olarak adlandırdığı bazı hatalar bulmasına rağmen Forshaw, başarılı bir saldırıyı yeniden üretemeyince sonunda duvara tosladı.

Bunun nedeni, Forshaw'un Windows G/Ç Yöneticisi alt sisteminin nasıl çalıştığı ve nasıl çalıştığı hakkında ayrıntılı bilgiye sahip olmamasıydı. tam bir saldırı için sürücü "başlatıcı" işlevleriyle çekirdek "alıcı" işlevlerini eşleştirebilirdi (resme bakın) altında].

Resim: Microsoft

İşbirliği önemliydi

Bu sorunu çözmek için Forshaw, yardım edebilecek tek kişi olan Microsoft'un mühendis ekibiyle iletişime geçti.

"Bu, Redmond'daki Bluehat 2017'de [güvenlik konferansında] çeşitli ekiplerle toplantılara yol açtı; burada bir plan oluşturuldu. Microsoft, Windows çekirdek ve sürücü kodu tabanındaki bu hata sınıfının boyutunu keşfetmek için kaynak kodu erişimini kullanacak." Forshaw dedi.

Microsoft, Forshaw'un araştırmasına kaldığı yerden devam etti ve neyin savunmasız olduğunu ve neyin yamalanması gerektiğini takip etti.

Araştırması sırasında Microsoft ekibi, Windows XP'den bu yana piyasaya sürülen tüm Windows sürümlerinin Forshaw'un EoP saldırı rutinine karşı savunmasız olduğunu buldu.

Bu suçlamayı yöneten Microsoft mühendisi Steven Hunter, Windows kodunun saldırılar için kötüye kullanılabilecek toplam 11 potansiyel başlatıcı ve 16 potansiyel alıcı içerdiğini söyledi.

İyi haber; bu 11 başlatıcı ve 16 alıcı işlevinden hiçbiri, Windows kurulumlarıyla birlikte gelen varsayılan sürücülerden birini kötüye kullanan bir saldırı için ara bağlantı olamaz.

Kötü haber: Özel sürücüler, Windows ekibinin araştırması sırasında araştıramadığı saldırıları kolaylaştırabilir.

Bu nedenle bazı yamalar, olası saldırıları önlemek amacıyla birkaç hafta içinde yayınlanması planlanan Windows 10'un sonraki sürümüyle birlikte gönderilecek.

"Bu düzeltmelerin çoğu Windows 10 19H1'de yayınlanma yolunda, birkaçı daha ileri bir tarihe ertelendi uyumluluk testi ve/veya içinde bulundukları bileşen varsayılan olarak kullanımdan kaldırılmış ve devre dışı bırakılmış olduğundan" Avcı dedi. "Tüm çekirdek sürücüsü geliştiricilerini, IRP isteklerinin doğru şekilde işlenmesini ve dosya açma API'lerinin savunma amaçlı kullanımını sağlamak için kodlarını gözden geçirmeye çağırıyoruz."

Bu yeni EoP saldırı yöntemi hakkında daha fazla teknik ayrıntıyı şu adreste bulabilirsiniz: Forshaw Ve Avcı'nin raporları.

Microsoft Güvenlik Yanıt Merkezi (MSRC) ile Google'ın Project Zero ekibi arasındaki işbirliği de infosec topluluğundaki pek çok kişiyi şaşırttı çünkü geçmişte bir noktada bu iki ekip küçük bir kavga yaşadık ve birbirlerinin ürünlerindeki yamalanmamış kusurları kamuya açıkladıkları biliniyordu.

Microsoft ve Project Zero çalışanları ara sıra açıklamalarda bulunabilir, ancak bu, daha büyük bir iyilik için her zaman gerçekleşen türden bir işbirliğidir. pic.twitter.com/HmGQUX1OfF

— Ryan Naraine (@ryanaraine) 14 Mart 2019

Arasında muhteşem işbirliği @tiraniddo & @_strohu Windows çekirdek sürücüsü güvenlik açıklarının bir sınıfının aranması hakkında. Bir mantık hatası bulma uzmanı, bir MSRC güvenlik mühendisi ve Semmle gibi güçlü bir statik analiz aracını birleştirdiğinizde olan budur :) https://t.co/VWVCw5mTml

— Matt Miller (@epakskape) 14 Mart 2019

Bu tür işbirlikleri MS ve rakipleri arasında pek çok düzeyde gerçekleşir. Avg çalışanları tarafından yönlendirilenler genellikle gerçekten olumludur. :)

— Rey Bango (@reybango) 14 Mart 2019

Anıt olarak: Microsoft'un öldürdüğü tüm tüketici ürünleri

Daha fazla güvenlik açığı raporu:

  • Apple, Google ve GoDaddy zayıf seri numaralarına sahip TLS sertifikalarını yanlış yayınladı
  • Microsoft Mart Yaması Salı, iki Windows sıfır günü için düzeltmelerle birlikte geliyor
  • Yeni BitLocker saldırısı, hassas verileri depolayan dizüstü bilgisayarları riske atıyor
  • WDS hatası, bilgisayar korsanlarının hatalı biçimlendirilmiş TFTP paketleri aracılığıyla Windows Sunucularını ele geçirmesine olanak tanıyor
  • İsviçre e-oylama sistemindeki güvenlik açığı oy değişikliklerine yol açabilirdi
  • Windows 7 sıfır gün için yayınlanan kavram kanıtlama kodu
  • DJI, potansiyel bilgisayar korsanlarının drone'ları gözetlemesine olanak tanıyan güvenlik açığını düzeltiyor CNET
  • En önemli 10 uygulama güvenlik açığı: Yamasız eklentiler ve uzantılar hakim TechRepublic