TexnoX-in baxışı (Deep Insight)
Önəmli Detallar
- Hücum Windows-un recovery mühitindəki XML fayllarından istifadə edir
- Microsoft Defender-in offline skan mexanizmi istismarın bir hissəsi kimi göstərilir
- Nəticədə SYSTEM səviyyəsində icra və BitLocker ilə qorunan verilənlərə giriş riski yaranır
Ətraflı Məqalə
Windows təhlükəsizliyində yeni narahatlıq yaradan GreatXML istismarı, BitLocker ilə qorunan sistemlərdə recovery bölməsində saxlanılan XML fayllarını hədəfə alır. Mənbəyə görə, bu üsul şifrələmə qatını birbaşa sındırmaqdan çox, bərpa mühitindəki davranışlardan istifadə edir. Nəticə etibarilə hücumçu sistemdə daha yüksək səlahiyyət əldə edə və qorunan məlumatlara yol aça bilər.
Bu məsələ xüsusilə ona görə önəmlidir ki, BitLocker uzun müddətdir cihaz itkisi və fiziki giriş risklərinə qarşı əsas müdafiə mexanizmi sayılır. Recovery mühiti isə adətən məhz fövqəladə bərpa üçün nəzərdə tutulduğundan, burada yaranan boşluq müdafiə modelinin həssas nöqtəsinə çevrilir. Belə hücumlar enterprise mühitdə laptop, iş stansiyası və sahə cihazları üçün əməliyyat riskini artırır.
Mənbədə qeyd olunur ki, istismar Microsoft Defender-in offline skan funksiyası ilə əlaqəli ssenaridə SYSTEM səviyyəsində shell açılmasına gətirib çıxara bilir. Bu, hücumun sadəcə məhdud bir keçid olmadığını, eyni zamanda yüksək imtiyaz əldə etməyə imkan verdiyini göstərir. Fiziki giriş şərti bu riski daraldır, amma korporativ avadanlıq itkiləri və servis mühitləri üçün təhlükəni azaldır demək olmaz.
Sistem administratorları üçün əsas nəticə odur ki, şifrələmə təkbaşına tam müdafiə demək deyil; recovery axını, offline alətlər və bərpa prosesləri də ayrıca təhlükəsizlik nəzarəti tələb edir. Bu tip boşluqlar vendor lock-in və cihaz idarəetməsi mövzusunu da yenidən gündəmə gətirir, çünki müdafiə zəncirinin zəif halqası çox vaxt əməliyyat səviyyəsində yaranır. Microsoft-un bu istiqamətdə düzəliş təqdim etməsi gözlənilir, amma hadisə BitLocker kimi standart alətlərin belə fiziki giriş ssenarilərində testə məruz qaldığını göstərir.
