Microsoft, sistem yöneticilerinden saldırganların Windows Defender Uygulama Denetimi (WDAC) atlamasına ve düz metin kimlik bilgilerine erişmesine olanak tanıyan iki güvenlik açığına karşı PowerShell 7’yi acil olarak güncellemelerini istedi. Eylül ve Ekim aylarında PowerShell 7 ve PowerShell 7.1’deki bu güvenlik açıklarını gidermek için PowerShell 7.0.8 ve PowerShell 7.1.5’i piyasaya sürüldü.
Sızan parolalar ve WDAC baypası
WDAC, yalnızca güvenilir uygulamaların ve sürücülerin çalışmasını sağlayarak kötü amaçlı yazılımların ve istenmeyen yazılımların başlatılmasını engelleyerek Windows cihazlarını potansiyel olarak kötü amaçlı yazılımlara karşı korumak için tasarlanmıştır. CVE-2020-0951 olarak izlenen zafiyet ile Windows Defender Uygulama Denetimi güvenlik özelliğini atlatılabilir ve WDAC’nin izin verilenler listesine kendisi ekleyebilir. Microsoft, “Saldırganın bu güvenlik açığından yararlanmak için PowerShell’in çalıştığı yerel bir makinede yönetici erişimine ihtiyacı var diyor. Saldırgan daha sonra bir PowerShell oturumuna bağlanabilir ve rasgele kod yürütmek için komutlar gönderebilir. CVE-2021-41355 olarak izlenen ikinci zafiyet, Windows olmayan platformları çalıştıran cihazlarda kimlik bilgilerinin açık metin olarak sızdırılabileceği .NET Core güvenlik açığı.
Etkilenip etkilenmediğinizi nasıl anlarsınız
CVE-2020-0951 güvenlik açığı hem PowerShell 7 hem de PowerShell 7.1 sürümlerini etkilerken CVE-2021-41355 yalnızca PowerShell 7.1 kullanıcılarını etkiliyor.
Çalıştırdığınız PowerShell sürümünü kontrol etmek ve bu iki hatadan yararlanan saldırılara karşı savunmasız olup olmadığınızı belirlemek için “pwsh -v” komutu bir Komut İsteminden yürütebilirsiniz.
Microsoft, şu anda bu güvenlik kusurlarından yararlanılmasını engellemek için herhangi bir azaltma önlemi bulunmadığını söylüyor. Yöneticilerin, sistemleri olası saldırılardan korumak için güncellenmiş PowerShell 7.0.8 ve 7.1.5 sürümlerini mümkün olan en kısa sürede yüklemeleri öneriyor. Microsoft, “Sistem yöneticilerinin PowerShell 7’yi etkilenmeyen bir sürüme güncellemeleri önerilir” diye ekledi. Hangi PowerShell sürümlerinin etkilendiğine ve sabit sürümlere ilişkin ayrıntılar burada ve burada bulunabilir.
Kaynak: bleepingcomputer.com
Sadece 7.0 ve 7.1 sürümü için geçerlidir, eski sürümler için böyle bir zafiyet henüz yayınlanmadı.