Windows 10 hatası ile bilgisayarlarınız çöküyor. Windows 10’daki bir hata, işletim sisteminin yalnızca bir tarayıcının adres çubuğunda belirli bir yolu açarak veya diğer Windows komutlarını kullanarak Mavi Ölüm Ekranı ile çökmesine neden olur.
Geçen hafta BleepingComputer, bir Windows güvenlik araştırmacısı tarafından Twitter’da ifşa edilen ve saldırganlar tarafından çeşitli saldırılarda kötüye kullanılabilecek iki hatayı öğrendi.
İlk hata, ayrıcalıklı olmayan bir kullanıcının veya programın bir NTFS biriminin bozuk olarak işaretlenmesine neden olan tek bir komut girmesine izin verir . Chkdsk bu sorunu birçok testte çözerken, testlerimizden biri, komutun Windows’un başlatılmasını engelleyen bir sabit sürücüde bozulmaya neden olduğunu gösterdi.
Bugün, Windows 10’un yalnızca alışılmadık bir yol açmaya çalışarak bir BSOD çökmesi gerçekleştirmesine neden olan ikinci hataya bakıyoruz.
Bu yolun açılması bir BSOD’ye neden olur
Windows 10 hatası Ekim ayından bu yana, Windows güvenlik araştırmacısı Jonas Lykkegaard, Windows 10’un Chrome adres çubuğuna girildiğinde hemen çökmesine ve bir BSOD görüntülemesine neden olacak bir yol hakkında defalarca tweet attı.
Geliştiriciler Windows aygıtlarıyla doğrudan etkileşim kurmak istediklerinde, çeşitli Windows programlama işlevlerine argüman olarak bir Win32 aygıt ad alanı yolunu iletebilirler. Örneğin, bu, bir uygulamanın dosya sisteminden geçmeden doğrudan fiziksel diskle etkileşime girmesine izin verir.
Lykkegaard, ‘kernel / usermode ipc’ için kullanıldığına inandığı ‘konsol çoklayıcı sürücüsü’ için aşağıdaki Win32 aygıt ad alanı yolunu keşfettiğini söyledi. Yolu, düşük ayrıcalıklı kullanıcılardan bile çeşitli şekillerde açarken, Windows 10’un çökmesine neden olur.
\\.\globalroot\device\condrv\kernelconnect
Bu cihaza bağlanırken, geliştiricilerin cihazla düzgün bir şekilde iletişim kurmak için “ekle” genişletilmiş özelliğini iletmeleri bekleniyor.
Lykkegaard, yanlış hata kontrolü nedeniyle özniteliği geçmeden yola bağlanmaya çalışırsanız, Windows 10’da Mavi Ölüm Ekranı (BSOD) çökmesine neden olan bir istisnaya neden olacağını keşfetti.
Daha da kötüsü, düşük ayrıcalıklı Windows kullanıcıları bu yolu kullanarak aygıta bağlanmayı deneyebilir, bu da bir bilgisayarda yürütülen herhangi bir programın Windows 10’u çökertmesini kolaylaştırır.
Bir Microsoft sözcüsü “Microsoft, bildirilen güvenlik sorunlarını araştırma konusunda bir müşteri taahhüdüne sahiptir ve etkilenen cihazlar için en kısa sürede güncellemeler sağlayacağız” dedi.
Tehdit aktörleri hatayı kötüye kullanabilir
Bu hatanın uzaktan kod yürütme veya yükseltme ayrıcalığı için yararlanılıp yararlanılamayacağı henüz belirlenmemiş olsa da, mevcut haliyle, bir bilgisayara yönelik hizmet reddi saldırısı olarak kullanılabilir.
Lykkegaard, ile \\. \ Globalroot \ device \ condrv \ kernelconnect’e işaret eden bir ayara sahip bir Windows URL dosyası (.url) paylaştı. Dosya indirildiğinde, Windows 10, URL dosyasının simgesini sorunlu yoldan oluşturmaya çalışır ve Windows 10’u otomatik olarak kilitliyor.
O zamandan beri bu hatayı kullanmanın birçok yolunu buldu, bunlara Windows oturum açma sırasında otomatik olarak BSOD’lara neden olma yöntemleri de dahil.
Gerçek hayattaki bir senaryoda, bu hata, bir ağa erişimi olan ve bir saldırı sırasında izlerini örtmek isteyen tehdit aktörleri tarafından kötüye kullanılabilir.
Yönetici kimlik bilgilerine sahiplerse, bir ağdaki tüm Windows 10 cihazlarında bu yola erişerek çökmelerine neden olan bir komutu uzaktan çalıştırabilirler. Ağda oluşan tahribat, araştırmaları geciktirebilir veya yönetici kontrollerinin belirli bir bilgisayara yapılan bir saldırıyı algılamasını engelleyebilir.
2017’de benzer bir saldırı senaryosu, Tayvan’daki Uzak Doğu Uluslararası Bankası’na (FEIB) düzenlenen bir banka soygunu sırasında tehdit aktörleri tarafından kullanıldı . Bu saldırıda, tehdit aktörleri saldırıya yönelik araştırmaları geciktirmek için ağa Hermes fidye yazılımını yerleştirdiler.
