Bilgisayarımıza indirdiğimiz Antivirüs programlarının, sistemlerimizi tümüyle koruyacağına dair bir düşünce oldukça yaygın. Bu yazımızda Antivirüs Programları ve bünyelerinde bulunan güvenlik açıkları ile ilgili konuşacağız.
CyberArk Labs tarafından yakın zamanda yapılan bir araştırma, bazı popüler antivirüs yazılımlarında bulunan ve hedef sistemde yetki yükseltme için kullanılabilen güvenlik açıkları hakkında bilgilendirme yaptı. Birden fazla güvenlik açığının ele alınıp incelendiği bu araştırmada, ele alınan zafiyetlerden birisi ”Yetki Yükseltme” olarak bilinen durum.
Yetki yükseltme (Privilege Escalation) nedir?
Normal şartlar altında izin verilmemiş (yetkilendirilmemiş) olan uygulamalar ya da kullanıcılardan korunan, bunlar tarafından erişime izin verilmeyen kaynaklara erişim elde etmek anlamına gelir.
Bunun yapılabilmesi için işletim sistemi, yazılım, uygulama, tasarım hataları ya da yapılandırma denetimindeki kusurlardan faydalanan kişiler uygulama geliştiricisi veya sistem yöneticisi tarafından amaçlanandan daha fazla ayrıcalığa sahip hale gelerek istedikleri eylemleri gerçekleştirebilirler.
Antivirüsler yapıları ve amaçları gereği standart olarak yüksek yetkiler ile sistemlerimizde çalışmaktadırlar. Antivirüslerin doğru çalışabilmesi için gerekli olan bu yüksek yetki durumu ise kendilerinde bulunan herhangi bir zafiyetin kötüye kullanılabilmesine, zararlı yazılımların yetki yükseltebilmesine ve birden fazla zarar verici eylem gerçekleştirmesine neden olabileceği anlamına gelir.
Yapılan araştırmada Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira ve Microsoft Defender’ın antivirüs çözümleri dahil olmak üzere, birçok antivirüsün çeşitli saldırılarla istismara açık olduğu açıklandı. İyi haber ise bu antivirüs markalarının tümünün araştırmacılar tarafından bildirilen güvenlik açıklarını hemen ele alması oldu.
Araştırmacılar, keşfettikleri birçok sorunun temel nedenlerinden birinin C: \ ProgramData dizininin varsayılan DACL’leri olduğunu açıkladılar.
DACL (İsteğe Bağlı Erişim Kontrol Listesi) nedir?
DACL, Microsoft Windows ailesinde İsteğe Bağlı Erişim Kontrol Listesi anlamına gelir, Active Directory’deki bir nesneye eklenmiş, hangi kullanıcıların ve grupların nesneye erişebileceğini ve nesne üzerinde ne tür işlemler gerçekleştirebileceklerini belirten bir dahili listedir.
Windows 2000 ve Windows NT’de, NTFS kullanılarak biçimlendirilmiş bir birimdeki bir dosya veya klasöre eklenen bir dahili liste benzeri bir işleve sahiptir.
NTFS, Windows NT’nin standart dosya sistemidir ve Windows 2000, Windows XP, Windows Server 2003 ve Windows Vista’da da standart olarak kullanılmıştır.
Windows’da ProgramData dizini, uygulamaların veri depolaması için kullanılır. Her kullanıcının okuma/yazma izinleri %LocalAppData% yerine ProgramData dizininde bulunur ve mevcut giriş yapmış kullanıcı tarafından erişilebilir durumdadır.
CyberArk tarafından yayınlanan analizde, birçok zafiyetin başlangıç olarak kaynağının C: \ ProgramData dizininin varsayılan DACL’leri olduğu belirtiliyor:
“Windows’ta, ProgramData dizini, uygulamalar tarafından bir kullanıcıya özel olmayan verileri depolamak için kullanılır. Bu, belirli bir kullanıcıya bağlı olmayan işlemlerin \ hizmetlerin muhtemelen mevcut oturum açmış kullanıcı tarafından erişilebilen % LocalAppData% yerine ProgramData’yı kullanacağı anlamına gelir. ProgramData’nın tasarım gereği izin verilen DACL’lere sahip olmasının nedeninin bu olduğunu varsayıyorum, böylece her kullanıcı oradaki dizinlere özgürce erişebilir.”
Düşük yetkili bir prosesin ProgramData dizininde bir klasör oluşturmasıyla ve bu klasöre, antivirüs gibi, yüksek yetkili bir prosesin erişmesiyle yetki yükseltmek mümkündür.
Yapılan analizde, zafiyetlerin kötüye kullanımını belirleyebilecek koşulların daha iyi anlaşılması için Avira antivirüs çözümünü etkileyen, paylaşılan bir Log Dosyası sorunu hakkında ayrıntılara yer verilmiş. Ayrıca bir antivirüs yazılımıyla ilişkili yetkili bir işlem yürütülmeden önce “C:\ProgramData” altına yeni bir klasör oluşturulabilineceği de görülebiliyor.
Uzmanlar, McAfee antivirüs yükleyicisinin “McAfee” klasörü oluşturulduktan sonra çalıştırıldığını, standart kullanıcının dizin üzerinde tam kontrole sahip olduğunu, bunun da yerel kullanıcının bir symlink saldırısı yoluyla yükseltilmiş izinler elde edebileceği anlamına geldiğini belirtti.
Ayrıca, Trend Micro, Fortinet ve diğer antivirüs çözümlerinde, saldırganların uygulama dizinine yerleştirdikten ve yetki yükselttikten sonra zararlı bir DLL’yi yürütmesine izin verebilecek DLL ( bir dosya uzantısıdır. Bu uzantı, Dynamic Link Library (Dinamik Bağlantı Kütüphanesi) kelimelerinin baş harflerinden oluşur.) ele geçirme zafiyetleri belirlendi.
Raporda “Bu zafiyetlerin etkileri genellikle yerel sistemin tam yetki yükseltilmesi ile ele geçirilmesine neden olmaktadır.” ve “Güvenlik ürünlerinin yüksek düzeyde yetki sahibi olması nedeniyle, içlerindeki bir hata zararlı yazılımın dayanak noktasını korumasına ve kuruluşa daha fazla zarar vermesine neden olabilir. Burada açıklanan zafiyetlerin istismar edilmesi kolaydır, ancak aynı zamanda yamalanması da kolaydır. “ deniliyor.
Uzmanlar tarafından keşfedilen zafiyetlerin tam listesi:
- Kaspersky CVE-2020-25045, CVE-2020-25044, CVE-2020-25043
- McAfee CVE-2020-7250, CVE-2020-7310
- Symantec CVE-2019-19548
- Fortinet CVE-2020-9290
- Checkpoint CVE-2019-8452
- Trend Micro CVE-2019-19688, CVE-2019-19689 +3
- Avira – CVE-2020-13903
- Microsoft-CVE-2019-1161
- Avast + F-Secure – Waiting for Mitre
Siber güvenlik söz konusu olduğu zaman “bütün kötülüklerden koruyan” tek bir çözüme güvenmek mümkün olmadığından her daim farklı katmanlardan oluşan bir güvenlik sistemi önerilmektedir. Herhangi bir programı sisteminize indirmeden önce mutlaka gerekli araştırmayı yapmanızı öneriyoruz.
İlk yorum yapan olun