Lale Çorumlu

Microsoft'un birkaç aydır tam olarak çözemediği bir Windows yerel ayrıcalık yükseltme sıfırıncı gün güvenlik açığı, kullanıcıların Windows 10, Windows 11 ve Windows Server'da yönetici ayrıcalıkları kazanmasına olanak tanır.

Windows Kullanıcı Profili Hizmetinde yerel olarak yararlanılan güvenlik açığı CVE-2021-34484 olarak izlenir ve CVSS v3 puanı 7.8 olarak verilir. İstismarlar geçmişte kamuya açıklanmış olsa da, vahşi doğada aktif olarak istismar edildiğine inanılmıyor.

Bu vakanın özelliği, Microsoft'un geçen yaz keşfedilmesinden bu yana kusuru çözememesi ve hatayı iki kez düzeltilmiş olarak işaretlemesi gerçeğinde yatmaktadır.

Durdurulan Windows sürümleri ve Microsoft'un ele almayacağı bazı güvenlik açıkları için gayri resmi olarak düzeltmeler sağlayan 0patch ekibine göre, kusur hala sıfır gün. Aslında, Microsoft'un yamaları hatayı düzeltemedi ve 0patch'in önceki resmi olmayan yamasını bozdu.

Sabit kalmayacak LPE

CVE-2021-34484 olarak izlenen Windows Kullanıcı Profili Hizmetinde Ayrıcalık Yükselmesi Güvenlik Açığı, güvenlik araştırmacısı Abdelhamid Naceri tarafından keşfedildi ve Ağustos 2021 Yaması Salı'nın bir parçası olarak düzelten Microsoft'a açıklandı.

Düzeltme yayınlandıktan kısa bir süre sonra Naceri, Microsoft'un yamasının eksik olduğunu fark etti ve tüm Windows sürümlerinde bunu atlayan bir kavram kanıtı (PoC) sundu.

Opatch ekibi bu noktada devreye girdi ve tüm Windows sürümleri için resmi olmayan bir güvenlik güncellemesi yayınladı ve tüm kayıtlı kullanıcılar için indirmeyi ücretsiz hale getirdi.

Microsoft ayrıca bu atlamaya, Ocak 2022 Salı Yaması Salı ile yayınlanan ve baypasa CVE-2022-21919 olarak yeni bir izleme kimliği veren ve bunu düzeltilmiş olarak işaretleyen ikinci bir güvenlik güncellemesiyle yanıt verdi. Ancak Naceri, bu girişimin ilkinden daha kötü olduğunu söylerken bu düzeltmeyi atlamanın bir yolunu buldu.

Opatch, yamalarını araştırmacının ikinci bypass'ına karşı test ederken, "profext.dll" DLL dosyasına yönelik yamalarının kullanıcıları yeni istismar yöntemine karşı koruduğunu ve bu sistemlerin güvende kalmasına izin verdiğini buldu.

Ancak, Microsoft'un ikinci düzeltme girişimi "profext.dll" dosyasının yerini aldı ve resmi olmayan düzeltmenin Ocak 2022 Windows güncellemelerini uygulayan herkesten kaldırılmasına yol açtı.

Opatch, düzeltmeyi Mart 2022 Salı Yaması güncellemeleriyle çalışacak şekilde taşıdı ve tüm kayıtlı kullanıcılara ücretsiz olarak sundu. 

Yeni mikro yamadan yararlanabilecek Windows sürümleri şunlardır:

• Windows 10 v21H1 (32 ve 64 bit) Mart 2022 Güncellemeleri ile güncellendi
• Windows 10 v20H2 (32 ve 64 bit) Mart 2022 Güncellemeleri ile güncellendi
• Windows 10 v1909 (32 ve 64 bit) Mart 2022 Güncellemeleri ile güncellendi
• Windows Server 2019 64 bit, Mart 2022 Güncellemeleri ile güncellendi

Windows 10 1803, Windows 10 1809 ve Windows 10 2004, 0patch'in orijinal yaması tarafından korunmaya devam ediyor, çünkü bu cihazlar destek sonuna ulaştı ve DLL'nin yerini alan Microsoft güncellemesini almadı.

Mikro yama nasıl kurulur

Microsoft, belirli LPE sorunu ve tüm atlamaları için tam bir düzeltme yayınlamadığı sürece, mikro yama, yukarıdaki Windows sürümlerinin kullanıcıları için ücretsiz olarak indirilmeye devam edecektir.

Bu tekliften yararlanmak isteyenler, Windows 10'unuzu en son yama düzeyine güncelleyin (Mart 2022), 0patch Central'da ücretsiz bir hesap oluşturun ve ardından 0patch Agent'ı buradan yükleyin ve kaydedin.

Bunu yapmak, şansınızın sisteminizde etkili olması için herhangi bir manuel işlem veya yeniden başlatma gerekmeden otomatik bir mikro yama işlemi başlatacaktır.

Bleeping Computer, belirli bir kusuru yeniden ziyaret etmeyi planlayıp planlamadığını ve belki de gelecekte bir güvenlik güncellemesi yoluyla düzeltmeyi deneyip denemediğini sormak için Microsoft ile iletişime geçti ve şirketin bir sözcüsü aşağıdaki yorumu paylaştı:

"Bu raporun farkındayız ve müşterileri korumak için gereken önlemleri alacağız."

Kaynak: https://www.bleepingcomputer.com/news/microsoft/windows-zero-day-flaw-giving-admin-rights-gets-unofficial-patch-again/