İlginizi Çekebilir
  1. Ana Sayfa
  2. Üretici Teknolojileri
  3. Bir Kısayol Dosyası Windows 7’nizi Çökertebilir!

Bir Kısayol Dosyası Windows 7’nizi Çökertebilir!

7 işletim sistemleri üzerinde yaptığım bir çalışma sırasında, 7’nin tüm sürümlerini etkileyen bir güvenlik zafiyetine denk geldim. Güvenlik zafiyeti, oluşturulan bir kısayol dosyasına girilen bazı kriterler ile 7 işletim sisteminin kısır bir döngüye girmesine ve bunun sonucunda Ram (Fiziksel Bellek) ve CPU (İşlemci)’yu aşarı derecede tüketerek yanıt veremeyecek duruma getirmektedir.

Oluşturulan kötü niyetli bu kısayol dosyası, bildiğimiz tüm güvenlik uygulamaları (Antivirüs, Firewall, Internet , Anti-Malware v.s), DEP (Data Execution Prevention), UAC (User Account Control) ve Windows Firewall gibi tüm yazılımları aşmaktadır.

Teknik Detaylar:

Zafiyet, işletim sistemlerinde %systemroot%\System32 klasöründe bulunan “forfiles.exe” dosyası üzerinde meydana gelmektedir.

Forfiles.exe: Bir komut veya komut dosyası (batch script) gibi işlemi çalıştırmak üzere geliştirilmiştir. Kötü niyetli bir kullanıcının oluşturacağı bir kısayol (.lnk) dosyasına yazacağı kodlar forfiles.exe üzerinden sistemi kısır döngüye sokacaktır. Böylece Windows yanıt veremeyecek duruma gelir ve işletim sistemi zarar görür. Kısır döngüye bir çok Windows bileşeni eklenebilmektedir. Bu da verilebilecek zararın artması anlamına gelir.

Kötü niyetli kullanıcı, bir kısa yol dosyası oluşturarak bu kısayol dosyasının konumuna %systemroot%\system32\forfiles.exe /C “cmd /c explorer” komutunu yazdığında, kısayol dosyası forfiles.exe dosyasını çalıştıracak ve ardından forfiles.exe dosyası üzerinden Explorer komutunu çalıştıracaktır. Bu noktada kısır döngü oluşacak ve sonsuz defa Explorer.exe çalışacaktır. Böylelikle Ram ve CPU kaynakları tüketilmiş olacaktır. Hemen ardından işletim sistemi kendini zorunlu restart edecektir.

Not: Bu işlemi Windows 7 işletim sistemlerinde test ettim. Windows 7 işletim sisteminin tüm sürümlerinde çalışmaktadır. Windows Server 2008’de test etme şansım olmadı. Windows 7 ve Server 2008 işletim sistemlerinin kernel (çekirdek) yapıları benzer oldukları için, zafiyet Server 2008 işletim sistemlerinde de muhtemelen çalışmaktadır.

 Pratik uygulama (Demo)

Uzmanı olduğum tüm konularda her zaman teorik bilgiye karşı olduğumdan dolayı, söz konusu güvenlik zafiyetinin pratik uygulamasına aşağıdaki video dan erişebilirsiniz. Bu video güvenlik zafiyet için bir proof of concept (Yapılabilirlik kanıtı)’tir.

http://www.youtube.com/watch?v=5bMbq1RElvY

Nasıl önlem alınabilir?

Güvenlik zafiyeti yukarıda belirttiğim gibi hiçbir güvenlik yazılımı tarafından zararlı olarak görülmediğinden dolayı manuel yöntemler ile engellenmelidir. Bu dosyanın çalıştırılmasını engellemek için group policy’e ihtiyacımız var. Kurumsal yapılarda Active Directory kullanıcılarına uygulanacak bir policy ile home kullanımlarda ise gpedit.msc yardımcı aracı ile uygulanacak policy ile bu yazılımın çalıştırılması engellenebilir.

Group Policy üzerinden yazılımı engellemek için aşağıdaki adımları izleyebilirsiniz.

1-) Group Policy’e erişerek Kullanıcı Yapılandırması\Yönetim Şablonları alanından Tüm Ayarlar’a tıklayın.

2-) Açılan ayarlardan, Belirlenen Windows Uygulamalarını Çalıştırma’yı çift tıklayarak açın.

3-) Karşınıza gelen ekrandan Etkin’i seçip, Göster’i tıklayın.

4-) Gelen ekrana forfiles.exe yazıp, açık tüm ekranlara Tamam diyerek kapatın.

5-) Forfiles.exe dosyası artık çalıştırılamayacaktır.

Güvenli günler.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

Yorum Yap

Yazar Hakkında

15+ yıllık siber güvenlik dünyasındaki çalışmaları ile tanınan Eyüp Çelik, birçok defans ve hack grubunu yöneterek siber güvenlik alanında adını duyurmuştur. Doksanlı yıllardan bu yana siber güvenlik alanında çalışmalarını sürdüren Eyüp Çelik’in uzmanlık alanları arasında sistem, ağ alt yapısı, veritabanı yapıları, yazılım ve web en başta gelmektedir. Visual C++, C# ve benzeri dillerde 10 yılı aşkın tecrübeye sahip olan Eyüp Çelik .NET platformu üzerinde siber güvenlik (hacking) araçları geliştirerek blogu üzerinden paylaşmakta ve açık kaynak dünyasına hediye etmektedir. Profesyonel iş hayatındaki kariyerine 2006 yılından sonra beyaz şapkalı hacker olarak devam eden Çelik, ülkemizin en önemli bilişim, adli analiz ve bilgi güvenliği firmalarında beyaz şapkalı hacker, defans ve ar-ge ekiplerini yönetmiştir. Aynı zamanda eğitmen kimliği ile birçok farklı üniversitede ve kurumda 200’den fazla konferansa katılarak siber güvenlik sektörüne değer katmıştır. Eğitimler, konferanslar ve benzeri birçok alanda üniversite öğrencilerine yön gösterici kimliği ile tanınan Eyüp Çelik, ülkemizin önde gelen eğitim kurumlarında etik hackerlik, web güvenliği, ileri seviye sızma testleri ve benzeri birçok konuda eğitimler vermeye devam etmektedir. Kariyerindeki en önemli adımlarını ülkemizin önde gelen danışmanlık firmalarında sürdürmeye devam eden Çelik, Siber Güvenlik ve AR-GE Direktörü ünvanı ile birçok kamu kurumuna ve özel sektördeki kritik kurumlara siber güvenlik danışmanlığı ve eğitim hizmetleri sunmuştur. Boş vakitlerini profesyonel fotoğrafçılık yeteneği ile devam ettiren Çelik, 2018 yılı itibari ile Privia Security ve Kodia firmalarını kurarak, siber güvenlik sektörüne farklı bir bakış açısı getirmeyi amaç edinmiş ve son bir yıldır ülkemizin en değerli kamu ve özel sektör firmalarına siber güvenlik danışmanlığı, AR-GE ve eğitim konularında hizmet vermeye devam etmektedir.

Yorum Yap

Yorumlar (5)

  1. 7 sene önce

    Böyle bir bilgiyi hatırı sayılı bir sitede yayınlamak ne kadar doğru veya böyle bir bilgiyi marifet gibi yayınlamak doğrumu karar veremedim ? kötü amaçlı kullanıcılara yol göstermek gibi olmuş..

    • Merhaba,

      Bizde ikilemde kaldık. Fakat yayınlanmadan haftalar önce de Microsoft Türkiye ile bu konu paylaşıldı.

      Bilginize,

      Emre

  2. Merhabalar. Değerli yorumunuz için teşekkür ederim.

    Bilgi teknolojileri güvenliği hassas bir konudur. Burdaki paylaşım amacı, böyle bir zafiyetin olduğu ve bu zafiyete karşı önlemlerimizi alamamızdır. Eğer sadece yıkmak,bozmak,yoketmek üzerine bir paylaşım yapılmış olsaydı yayınlanması sakıncalı olabilirdi. Nasıl çalışıldığı bilinmeyen bir zafiyete karşı önlem almak, pek akıllıca değildir. “Bir silahın nasıl ateş ettiği bilinmeden o silaha karşı önlem alınamaz.” Nitekim, bir zararlı kodun nasıl çalıştığı bilinmeden de ona karşı önlem almak mümkün değildir. Bundan dolayı zafiyet hakkında bilgi ve zafiyetin nasıl giderilebileceği konusuna yer verilmiştir.

    Bilgilerinize.

  3. “Oluşturulan kötü niyetli bu kısayol dosyası, bildiğimiz tüm güvenlik uygulamaları (Antivirüs, Firewall, Internet Security, Anti-Malware v.s), DEP (Data Execution Prevention), UAC (User Account Control) ve Windows Firewall gibi tüm yazılımları aşmaktadır.”

    Bahsettiginiz guvenlik yontemleri ile hic bir alakasi yok, hatta buldugunuzu soylediginiz sey bir guvenlik acigida degil, dogasi geregi dongu yapan bir uygulamayi surekli calistiriyorsunuz, batch scripti yazip sonsuz dongu icinde ayni komutu versem bende mi guvenlik acigi bulmus olacagim? DEP (Memory Corruption engellemek icin), UAC (Kullanici yetkilerini kontrol etmek icin), Firewall (Ag guvenligi icin), Digerleride virus vs.. icin varlar, bir programi sonsuz dongude acmayi engellemek hicbirinin isi degil ki zaten o iste guvenlik acigi degil.

  4. ben de de buna benzer sorun var internete bağlandığım zaman cpu belirli bir süre sonra %100 çalışmaya başalıyor ve ram de de düzensilik var birçok virüs programını kurdum ve taradım virusle karşılaşmadım fakat sorunlar hala devam ediyor verdiğiniz tavsiyeleri deneyeceğim