Elektronik cihazların güvenliği söz konusu olduğunda en önemli tavsiyelerden biri, bunların güncel olduklarından emin olmaktır.
Bir güvenlik araştırmacısı, Windows cihazlarını kalıcı olarak düşüren yeni bir saldırı keşfetti. Saldırı ile ilgili bilgiler şu adreste mevcuttur.GüvenliWeb sitesi.
Microsoft, Windows için aylık güvenlik güncellemelerini yayınlar. Ayrıca sınır dışı güvenlik güncellemelerini de yayınlayabilir; Bunlar, yeni güvenlik açıkları aktif olarak sömürüldüğünde yayınlanır.
İyi bilinen: Downgrading, bir cihazdan belirli güncellemelerin kaldırılmasını ifade eder. Bu, daha yeni özellik güncellemelerini kaldırmaya değil, aynı zamanda Windows'un daha yeni bir sürümünü kaldırmaya da atıfta bulunabilir.
Bazen bir PC'yi düşürmek gerekir, örneğin yeni bir sürüm o zaman düzeltilemeyen sorunlara neden olurken, işlem bazı güvenlik güncellemelerini veya korumaları işletim sisteminden kaldırmak için de kullanılabilir.
Windows düşürme saldırısı
Güvenlik araştırmacısı Alon Leviev, Windows'un tamamen yamalı sürümlerinde bile, düşüş saldırılarının mümkün olduğunu göstermek için Windows Downdate'i geliştirdi.
Aracı şu şekilde açıklıyor: “Kritik OS bileşenleri üzerinde tamamen tespit edilemez, görünmez, kalıcı ve geri dönüşü olmayan indirimler yapmak için Windows güncelleme işlemini devralmak için bir araç - ayrıcalıkları yükseltmeme ve güvenlik özelliklerini atlamama izin veren bir araç”.
Aracın yardımıyla Leviev, tamamen yamalı ve güvence altına alınmış Windows cihazlarını “binlerce geçmiş güvenlik açıklarına duyarlı” modası geçmiş Windows cihazlarına çevirebildi.
Leviev, Black Hat USA 2024 ve DEF Con 32'deki araştırma projesini tanıttı. Gösteri sırasında tamamen yamalı bir Windows sistemini başarıyla düşürmeyi başardı ve sistemleri özel bir şekilde hazırladı, böylece Windows güncellemesi yeni güncellemeler bulamadı.
Daha da kötüsü, indirgeme saldırısı hem uç nokta algılama hem de yanıt çözümleri ile tespit edilemez ve işletim sisteminin bileşenleri açısından görünmezdir. Başka bir deyişle, işletim sistemi aslında olmadığında güncel görünür.
Düşüş de kalıcı ve geri döndürülemez. İkincisi, sorunları algılamamak veya indirgemeyi onarabilecek araçların taranması ve onarılması anlamına gelir.
Teknik detaylar için SafeBreach web sitesindeki blog yayınına göz atabilirsiniz.
Microsoft'un yanıtı
Microsoft, güvenlik açığı hakkında önceden bilgilendirildi. Buradaki sorunları izliyor:
- CVE-2024-21302- Windows Güvenli Çekirdek Modu Ayrıcalık Güvenlik Açığı Yüksekliği
- CVE-2024-38202- Windows Güncelleme Yürürlükten Güvenlik Açığı Yüksekliği
Her iki sorunun da maksimum şiddeti Microsoft tarafından önemli hale getirildi.
Microsoft, Microsoft Defender'a Endpoint için zaten bir algılama ekledi. Bu, müşterileri istismar girişimleri konusunda uyarmak için tasarlanmıştır.
Şirket bunun yanında birkaç eylem öneriyor. “Güvenlik açığını azaltmazlar”, “sömürü riskini azaltırlar”.
Önerilen Okuma:Saldırı Altında Windows: Ransomware Group tarafından kullanılan 0 günlük güvenlik açığı
Özetle:
- "Denet Nesnesi Erişimi" ayarlarını, kullanma, okuma / yazma işlemleri veya güvenlik tanımlayıcılarında yapılan değişiklikler gibi dosyalara erişme girişimlerini izlemek için yapılandırın.
- VBS ile ilgili dosyaların erişimini, modifikasyonunu veya değiştirilmesini tanımlamak için kullanılan hassas ayrıcalıkları kauding.
- Riskli imzalar için işaretlenmiş yöneticileri ve kullanıcıları araştırarak ve kimlik bilgilerini döndürerek Azure Kiracınızı koruyun.
- Çok faktörlü kimlik doğrulamanın etkinleştirilmesi, tehlikeye atılan hesaplar veya maruz kalma konusundaki endişeleri hafifletmeye yardımcı olabilir.
Kelimeleri Kapatma
Saldırı idari ayrıcalıklar gerektiriyor. İyi bir önlem, Windows PC'lerde günlük etkinlikler için normal bir kullanıcı hesabı kullanmaktır. Microsoft gelecekte sorun için bir düzeltme yayınlayacak.
Bu konuda ne alıyorsun? Aşağıda bir yorum bırakmaktan çekinmeyin.