Windows 7 işletim sistemleri üzerinde yaptığım bir çalışma sırasında, Windows 7’nin tüm sürümlerini etkileyen bir güvenlik zafiyetine denk geldim. Güvenlik zafiyeti, oluşturulan bir kısayol dosyasına girilen bazı kriterler ile Windows 7 işletim sisteminin kısır bir döngüye girmesine ve bunun sonucunda Ram (Fiziksel Bellek) ve CPU (İşlemci)’yu aşarı derecede tüketerek yanıt veremeyecek duruma getirmektedir.
Oluşturulan kötü niyetli bu kısayol dosyası, bildiğimiz tüm güvenlik uygulamaları (Antivirüs, Firewall, Internet Security, Anti-Malware v.s), DEP (Data Execution Prevention), UAC (User Account Control) ve Windows Firewall gibi tüm yazılımları aşmaktadır.
Teknik Detaylar:
Zafiyet, Windows 7 işletim sistemlerinde %systemroot%\System32 klasöründe bulunan “forfiles.exe” dosyası üzerinde meydana gelmektedir.
Forfiles.exe: Bir komut veya komut dosyası (batch script) gibi işlemi çalıştırmak üzere geliştirilmiştir. Kötü niyetli bir kullanıcının oluşturacağı bir kısayol (.lnk) dosyasına yazacağı kodlar forfiles.exe üzerinden sistemi kısır döngüye sokacaktır. Böylece Windows yanıt veremeyecek duruma gelir ve işletim sistemi zarar görür. Kısır döngüye bir çok Windows bileşeni eklenebilmektedir. Bu da verilebilecek zararın artması anlamına gelir.
Kötü niyetli kullanıcı, bir kısa yol dosyası oluşturarak bu kısayol dosyasının konumuna %systemroot%\system32\forfiles.exe /C “cmd /c explorer” komutunu yazdığında, kısayol dosyası forfiles.exe dosyasını çalıştıracak ve ardından forfiles.exe dosyası üzerinden Explorer komutunu çalıştıracaktır. Bu noktada kısır döngü oluşacak ve sonsuz defa Explorer.exe çalışacaktır. Böylelikle Ram ve CPU kaynakları tüketilmiş olacaktır. Hemen ardından işletim sistemi kendini zorunlu restart edecektir.
Not: Bu işlemi Windows 7 işletim sistemlerinde test ettim. Windows 7 işletim sisteminin tüm sürümlerinde çalışmaktadır. Windows Server 2008’de test etme şansım olmadı. Windows 7 ve Server 2008 işletim sistemlerinin kernel (çekirdek) yapıları benzer oldukları için, zafiyet Server 2008 işletim sistemlerinde de muhtemelen çalışmaktadır.
Pratik uygulama (Demo)
Uzmanı olduğum tüm konularda her zaman teorik bilgiye karşı olduğumdan dolayı, söz konusu güvenlik zafiyetinin pratik uygulamasına aşağıdaki video dan erişebilirsiniz. Bu video güvenlik zafiyet için bir proof of concept (Yapılabilirlik kanıtı)’tir.
http://www.youtube.com/watch?v=5bMbq1RElvY
Nasıl önlem alınabilir?
Güvenlik zafiyeti yukarıda belirttiğim gibi hiçbir güvenlik yazılımı tarafından zararlı olarak görülmediğinden dolayı manuel yöntemler ile engellenmelidir. Bu dosyanın çalıştırılmasını engellemek için group policy’e ihtiyacımız var. Kurumsal yapılarda Active Directory kullanıcılarına uygulanacak bir policy ile home kullanımlarda ise gpedit.msc yardımcı aracı ile uygulanacak policy ile bu yazılımın çalıştırılması engellenebilir.
Group Policy üzerinden yazılımı engellemek için aşağıdaki adımları izleyebilirsiniz.
1-) Group Policy’e erişerek Kullanıcı Yapılandırması\Yönetim Şablonları alanından Tüm Ayarlar’a tıklayın.
2-) Açılan ayarlardan, Belirlenen Windows Uygulamalarını Çalıştırma’yı çift tıklayarak açın.
3-) Karşınıza gelen ekrandan Etkin’i seçip, Göster’i tıklayın.
4-) Gelen ekrana forfiles.exe yazıp, açık tüm ekranlara Tamam diyerek kapatın.
5-) Forfiles.exe dosyası artık çalıştırılamayacaktır.
Güvenli günler.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
www.mshowto.org http://credit-n.ru/zaymyi-v-ukraine.html http://credit-n.ru/offers-zaim/vivus-potrebitelskie-zaymy-online.html