Windows 7 işletim sistemleri üzerinde yaptığım bir çalışma sırasında, Windows 7’nin tüm sürümlerini etkileyen bir güvenlik zafiyetine denk geldim. Güvenlik zafiyeti, oluşturulan bir kısayol dosyasına girilen bazı kriterler ile Windows 7 işletim sisteminin kısır bir döngüye girmesine ve bunun sonucunda Ram (Fiziksel Bellek) ve CPU (İşlemci)’yu aşarı derecede tüketerek yanıt veremeyecek duruma getirmektedir.
Oluşturulan kötü niyetli bu kısayol dosyası, bildiğimiz tüm güvenlik uygulamaları (Antivirüs, Firewall, Internet Security, Anti-Malware v.s), DEP (Data Execution Prevention), UAC (User Account Control) ve Windows Firewall gibi tüm yazılımları aşmaktadır.
Teknik Detaylar:
Zafiyet, Windows 7 işletim sistemlerinde %systemroot%\System32 klasöründe bulunan “forfiles.exe” dosyası üzerinde meydana gelmektedir.
Forfiles.exe: Bir komut veya komut dosyası (batch script) gibi işlemi çalıştırmak üzere geliştirilmiştir. Kötü niyetli bir kullanıcının oluşturacağı bir kısayol (.lnk) dosyasına yazacağı kodlar forfiles.exe üzerinden sistemi kısır döngüye sokacaktır. Böylece Windows yanıt veremeyecek duruma gelir ve işletim sistemi zarar görür. Kısır döngüye bir çok Windows bileşeni eklenebilmektedir. Bu da verilebilecek zararın artması anlamına gelir.
Kötü niyetli kullanıcı, bir kısa yol dosyası oluşturarak bu kısayol dosyasının konumuna %systemroot%\system32\forfiles.exe /C “cmd /c explorer” komutunu yazdığında, kısayol dosyası forfiles.exe dosyasını çalıştıracak ve ardından forfiles.exe dosyası üzerinden Explorer komutunu çalıştıracaktır. Bu noktada kısır döngü oluşacak ve sonsuz defa Explorer.exe çalışacaktır. Böylelikle Ram ve CPU kaynakları tüketilmiş olacaktır. Hemen ardından işletim sistemi kendini zorunlu restart edecektir.
Not: Bu işlemi Windows 7 işletim sistemlerinde test ettim. Windows 7 işletim sisteminin tüm sürümlerinde çalışmaktadır. Windows Server 2008’de test etme şansım olmadı. Windows 7 ve Server 2008 işletim sistemlerinin kernel (çekirdek) yapıları benzer oldukları için, zafiyet Server 2008 işletim sistemlerinde de muhtemelen çalışmaktadır.
Pratik uygulama (Demo)
Uzmanı olduğum tüm konularda her zaman teorik bilgiye karşı olduğumdan dolayı, söz konusu güvenlik zafiyetinin pratik uygulamasına aşağıdaki video dan erişebilirsiniz. Bu video güvenlik zafiyet için bir proof of concept (Yapılabilirlik kanıtı)’tir.
http://www.youtube.com/watch?v=5bMbq1RElvY
Nasıl önlem alınabilir?
Güvenlik zafiyeti yukarıda belirttiğim gibi hiçbir güvenlik yazılımı tarafından zararlı olarak görülmediğinden dolayı manuel yöntemler ile engellenmelidir. Bu dosyanın çalıştırılmasını engellemek için group policy’e ihtiyacımız var. Kurumsal yapılarda Active Directory kullanıcılarına uygulanacak bir policy ile home kullanımlarda ise gpedit.msc yardımcı aracı ile uygulanacak policy ile bu yazılımın çalıştırılması engellenebilir.
Group Policy üzerinden yazılımı engellemek için aşağıdaki adımları izleyebilirsiniz.
1-) Group Policy’e erişerek Kullanıcı Yapılandırması\Yönetim Şablonları alanından Tüm Ayarlar’a tıklayın.
2-) Açılan ayarlardan, Belirlenen Windows Uygulamalarını Çalıştırma’yı çift tıklayarak açın.
3-) Karşınıza gelen ekrandan Etkin’i seçip, Göster’i tıklayın.
4-) Gelen ekrana forfiles.exe yazıp, açık tüm ekranlara Tamam diyerek kapatın.
5-) Forfiles.exe dosyası artık çalıştırılamayacaktır.
Güvenli günler.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
www.mshowto.org http://credit-n.ru/zaymyi-v-ukraine.html http://credit-n.ru/offers-zaim/vivus-potrebitelskie-zaymy-online.html
Böyle bir bilgiyi hatırı sayılı bir sitede yayınlamak ne kadar doğru veya böyle bir bilgiyi marifet gibi yayınlamak doğrumu karar veremedim ? kötü amaçlı kullanıcılara yol göstermek gibi olmuş..
Merhaba,
Bizde ikilemde kaldık. Fakat yayınlanmadan haftalar önce de Microsoft Türkiye ile bu konu paylaşıldı.
Bilginize,
Emre
Merhabalar. Değerli yorumunuz için teşekkür ederim.
Bilgi teknolojileri güvenliği hassas bir konudur. Burdaki paylaşım amacı, böyle bir zafiyetin olduğu ve bu zafiyete karşı önlemlerimizi alamamızdır. Eğer sadece yıkmak,bozmak,yoketmek üzerine bir paylaşım yapılmış olsaydı yayınlanması sakıncalı olabilirdi. Nasıl çalışıldığı bilinmeyen bir zafiyete karşı önlem almak, pek akıllıca değildir. “Bir silahın nasıl ateş ettiği bilinmeden o silaha karşı önlem alınamaz.” Nitekim, bir zararlı kodun nasıl çalıştığı bilinmeden de ona karşı önlem almak mümkün değildir. Bundan dolayı zafiyet hakkında bilgi ve zafiyetin nasıl giderilebileceği konusuna yer verilmiştir.
Bilgilerinize.
“Oluşturulan kötü niyetli bu kısayol dosyası, bildiğimiz tüm güvenlik uygulamaları (Antivirüs, Firewall, Internet Security, Anti-Malware v.s), DEP (Data Execution Prevention), UAC (User Account Control) ve Windows Firewall gibi tüm yazılımları aşmaktadır.”
Bahsettiginiz guvenlik yontemleri ile hic bir alakasi yok, hatta buldugunuzu soylediginiz sey bir guvenlik acigida degil, dogasi geregi dongu yapan bir uygulamayi surekli calistiriyorsunuz, batch scripti yazip sonsuz dongu icinde ayni komutu versem bende mi guvenlik acigi bulmus olacagim? DEP (Memory Corruption engellemek icin), UAC (Kullanici yetkilerini kontrol etmek icin), Firewall (Ag guvenligi icin), Digerleride virus vs.. icin varlar, bir programi sonsuz dongude acmayi engellemek hicbirinin isi degil ki zaten o iste guvenlik acigi degil.
ben de de buna benzer sorun var internete bağlandığım zaman cpu belirli bir süre sonra %100 çalışmaya başalıyor ve ram de de düzensilik var birçok virüs programını kurdum ve taradım virusle karşılaşmadım fakat sorunlar hala devam ediyor verdiğiniz tavsiyeleri deneyeceğim