Microsoft, sistem yöneticilerinden PowerShell 7'yi, saldırganların Windows Defender Uygulama Kontrolü (WDAC) uygulayıcıları atlamasını ve düz metin kimlik bilgilerine erişim kazanmalarını sağlayan iki güvenlik açıkına karşı düzeltmeyi istedi.
PowerShell, bir komut satırı kabuğu, bir çerçeve ve PowerShell CMDlets işleme için otomasyona odaklanan bir komut dosyası dili sağlayan çapraz platformlu bir çözümdür.
Redmond, PowerShell 7.0.8 ve PowerShell 7.1.5'i Eylül ve Ekim aylarında PowerShell 7 ve PowerShell 7.1 şubelerindeki bu güvenlik kusurlarını giderdi.
WDAC, yalnızca güvenilir uygulamaların ve sürücülerin çalıştırılmasını sağlayarak, kötü amaçlı yazılım ve istenmeyen yazılımı engellemesini engelleyerek potansiyel olarak kötü amaçlı yazılımlara karşı Windows cihazlarını korumak için tasarlanmıştır.
Yazılım tabanlı WDAC güvenlik katmanı Windows'ta etkin olduğunda, PowerShell otomatik olarak sınırlı bir dil moduna geçer, yalnızca sınırlı bir Windows API'leri erişimini kısıtlar.
CVE-2020-0951 olarak izlenen Windows Defender Uygulama Kontrol Güvenlik Özelliği Bypass Güvenlik Açığı'nı sömürerek, tehdit aktörleri, WDAC'nin etkinleştirildiğinde, POWERSHELL komutlarını çalıştırmalarını sağlayan WDEC'nin izin veriş listesini içerebilir.
"Güvenlik açığından yararlanmak için, bir saldırganın PowerShell'in çalıştığı yerel bir makineye yönetici erişimine ihtiyacı var. Saldırgan daha sonra bir PowerShell oturumuna bağlanabilir ve keyfi kodu yürütmek için komutları gönderebilir" dedi.
CVE-2021-41355 olarak izlenen ikinci kusur, Windows olmayan platformlar çalışan cihazlarda, kimlik bilgilerinin net bir metinde sızdırıldığı .NET çekirdeğinde bir bilgi açıklama güvenlik açığıdır.
Microsoft, "System.DirectoryServices.protocols.ldapconnection'da Windows Operating Systems'de düz metin olarak kimlik bilgilerini gönderebileceği." Bilgi açıklama güvenlik açığı var. Microsoft, ".
CVE-2020-0951 güvenlik açığı hem PowerShell 7 hem de PowerShell 7.1 versiyonlarını etkilerken, CVE-2021-41355, yalnızca PowerShell 7.1 kullanıcılarını etkiler.
PowerShell sürümünü çalıştırdığınız ve bu iki hatayı sömüren saldırılara karşı savunmasız olup olmadığınızı belirlemek için, PWSH -V komutunu bir komut isteminden çalıştırabilirsiniz.
Microsoft, bu güvenlik kusurlarının sömürüsünü engellemek için şu anda herhangi bir azaltma önleminin mevcut olmadığını söylüyor.
Yöneticilerin, güncellenmiş PowerShell 7.0.8 ve 7.1.5 versiyonlarını potansiyel saldırılardan korumak için en kısa sürede yüklemeleri önerilir.
Microsoft, "Sistem yöneticilerinin PowerShell 7'yi etkilenmemiş bir sürüme güncellemeleri önerilir" dedi. PowerShell sürümlerinin etkilendiği ve sabit versiyonlar burada ve burada bulunabilir.
Temmuz ayında, Microsoft, PowerShell 7'deki başka bir yüksek ciddiyetli .NET çekirdek uzaktan kod yürütme güvenlik açığı konusunda uyardı.
Microsoft yakın zamanda, Microsoft Update Service ile gelecekteki güncellemeleri serbest bırakarak, Windows 10 ve Windows Server müşterileri için PowerShell'in güncellenmesini kolaylaştıracağını açıkladı.
Microsoft Kritik PowerShell 7 Kod Yürütme Güvenlik Açığı Uyarıları
Microsoft Sorunları Yüzey Pro 3 TPM Bypass Güvenlik Açığı için Danışmanlık
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Genel Windows PrintNightMare 0 gün Exploit etki alanı devralınmasını sağlar
Microsoft Ekim 2021 Yama Salı Düzeltmeler 4 Sıfır Gün, 71 Kusur
Kaynak: Bleeping Computer