Windows 11 24H2 Sürümünde PowerShell AppLocker Sorunu Aylardır Devam Ediyor
Microsoft, geçtiğimiz hafta Windows 11 24H2 sürümünün herkes için indirilebilir olduğunu açıkladı. Ancak güncellemeyle birlikte pek çok hata da ortaya çıktı. Kullanıcılar sistem performansında düşüş, veri kaybı riski ve yükseltme hataları gibi çeşitli sorunlar yaşadı. Bu sorunlara şimdi bir yenisi daha eklendi. Sistem yöneticileri, AppLocker ve WDAC (Windows Defender Application Control) betik denetim mekanizmalarının aylardır düzgün çalışmadığını keşfetti.
AppLocker betik denetimi Windows 11 24H2 ile bozuldu
Birçok sistem yöneticisi, Windows 11 24H2 güncellemesinin ardından PowerShell betiklerinin AppLocker veya Windows Defender Application Control (WDAC) tarafından engellenmediğini fark etti. Normalde bu güvenlik ilkeleri sayesinde sistem yöneticileri EXE dosyaları, betikler, DLL dosyaları ve uygulama yükleyicileri üzerinde denetim sağlayabiliyor.
Kullanıcı “CFou” adlı kişi, bu sorunu ilk olarak Stack Exchange forumunda gündeme getirdi. Sistemin “ConstrainedLanguage” moduna geçmesi gerekirken oturumun doğrudan “FullLanguage” modunda açıldığını belirtti. Bu durum, kötü amaçlı betiklerin bile kısıtlama olmadan çalışmasına yol açabiliyor. Reddit’te “hornetfig” adlı kullanıcı da aynı durumu sysadmin alt başlığında paylaştı. Konuya yorum yapan diğer sistem yöneticileri de sorunu doğruladı.
Microsoft MVP unvanına sahip Roody Ooms, bu güvenlik açığını detaylı şekilde inceledi. Ooms, Windows 11 24H2’deki bu davranış değişikliğinin nedeni olarak PowerShell 7.3 ile gelen yeni bir API olan WldpCanExecuteFile fonksiyonunu gösterdi. Önceki PowerShell sürümleri, sistem kısıtlamalarını tespit etmek için WldpGetLockdownPolicy fonksiyonunu kullanıyordu. Bu değişiklik, AppLocker’ın betikleri doğru şekilde engellemesini engelledi.
Microsoft, hatayı kabul etti ve çözüm sürecine girdi. PowerShell 7.6-preview.4 sürümünde yapılan bir iyileştirme ile sistem eski API’ye geri dönüyor. Yeni sürümde, betikler denetlenmeden çalıştırılamayacak. Bu düzenleme sayesinde AppLocker güvenlik ilkeleri tekrar etkili şekilde uygulanabilecek. Roody Ooms’un teknik analizine kendi blogundan ulaşılabiliyor.
