CVE-2020-0683 · Bilgilendirme

Microsoft Windows Installer Privilege Escalation Vulnerability

CVE-2020-0683, Windows Installer'daki bir zafiyet sayesinde saldırganlar dosya erişim kısıtlamalarını aşabilir.

Üretici
Microsoft
Ürün
Windows
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
8 dk okuma

CVE-2020-0683: Microsoft Windows Installer Privilege Escalation Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2020-0683, Microsoft Windows Installer üzerinde bulunan önemli bir güvenlik açığıdır. Bu açık, saldırganların MSI (Microsoft Installer) paketlerini işleme alırken sembolik bağlantıları (symbolic links) kullanarak yetki yükseltme (privilege escalation) yapmasına olanak tanır. Dolayısıyla, sınırlı erişim izinlerine sahip bir kullanıcı, bu güvenlik açığını kullanarak sistemde daha yüksek yetkilere sahip olmadan dosya ekleyebilir veya kaldırabilir. Bu durum, kötü niyetli bir saldırganın sistemin bütünlüğünü ihlal etmesine, verileri çalmasına veya başka zararlı yazılımlar yüklemesine yol açabilir.

Zafiyetin kökeni, Microsoft'un Windows Installer hizmetinin sembolik bağlantılarla etkileşimi sırasında ortaya çıkar. Sembolik bağlantılar, dosya sisteminde bir dosya veya klasör için bir çeşit kısayol işlevi gören özel dosyalardır. Windows Installer’ın işleyişi sırasında bu tür bağlantılar gerektiğinde hedef dosyanın doğru bir şekilde işlenmesini sağlamak için kullanılır. Ancak, bu mekanizma üzerinde yeterince sıkı güvenlik kontrolleri uygulanmadığı için, saldırganlar bu boşluğun olduğunu keşfettiklerinde, belirli dosyalara erişim sağlama ve bu dosyalar üzerinde yetki kazığıma yapma yoluna gidebilirler.

CVE-2020-0683 açığının etkileri oldukça geniş bir yelpazede hissedilmiştir. Özellikle kurumsal ağlar, büyük ölçekli işletmeler ve devlet kurumları başta olmak üzere, hemen hemen tüm Windows kullanıcılarını etkilemektedir. Saldırganlar, bu açığı kullanarak kullanıcıların veya bilgi sistemlerinin korunmasız olduğu anlarda kritik verilere erişim sağlayabilir. Eğitim kurumları, sağlık sektörleri, finansal hizmetler gibi veri güvenliğinin en üst düzeyde tutulması gereken alanlar, bu tür bir zafiyet için hedef olma potansiyelini taşır.

Bu tür zafiyetlere karşı en iyi savunma, güncel güvenlik yamalarının (patches) uygulanması ve sistemlerin düzenli olarak güncellenmesidir. Microsoft, bu güvenlik açığı için gerekli yamayı hızla yayımlamış ve kullanıcıların sistemlerini güncellemelerini önemle tavsiye etmiştir. Ayrıca, kullanıcıların dikkatli olması, tanımadıkları kaynaklardan gelen MSI paketlerini çalıştırmamaları ve yalnızca güvenilir yazılım dağıtım kanallarını kullanmaları önemlidir.

CVE-2020-0683 gibi bir açıkla mücadele ederken, yalnızca teknik çözümler yeterli değildir. Kullanıcılara bilinçlendirme çalışmaları yapmak, sosyal mühendislik saldırılarına karşı tedbirler almak ve sistemlerini tehditlere karşı proaktif bir şekilde korumak, genel güvenliği artırmak adına kritik öneme sahiptir. Sonuçta, yazılım güvenliği sürekli bir süreçtir ve bireyler ile organizasyonların bu sürece dahil olması gerekmektedir.

Bununla birlikte, bir hacker olarak bu tür zafiyetleri saptamak ve bu tür durumları önlemek adına çeşitli güvenlik testleri ve analiz yöntemleri kullanılabilir. Örneğin, bir ortamda bu tür sembolik bağlantıları tespit etmek için uygun araçlar ve teknikler kullanmak, zafiyetin kötüye kullanılmadan hızlı bir şekilde tespit edilmesine yardımcı olabilir. Güvenli bir çevre oluşturmak, zafiyetlerin bilincinde olmak ve sürekli eğitim ile gelişmek büyük önem taşımaktadır.

Teknik Sömürü (Exploitation) ve PoC

Microsoft Windows Installer'daki CVE-2020-0683 açığı, kötü niyetli bir kullanıcının sistemdeki yetkileri yükseltmesine olanak tanır. Bu, özellikle MSI (Microsoft Software Installer) paketlerinin sembolik bağlantılar üzerinden dosya yüklemesi veya kaldırması işlemleri sırasında ortaya çıkar. Sembolik bağlantılar, dosyaların ve dizinlerin işleyişinde kritik öneme sahip olup, yetkisiz erişim sağlanabileceği durumlarda ciddi güvenlik açıkları oluşturabilir.

Bu zafiyetin kötüye kullanılması, saldırganların sistemi etkisiz hale getirerek kötü niyetli yazılımlar yüklemesine veya yüklü yazılımları değiştirmesine olanak tanır. Potansiyel bir senaryo, bir saldırganın hedef sistemi ele geçirip önemli verileri çalması veya sistemin bütünlüğünü bozmasıdır. Örneğin, bir şirketin ağında çalışan bir kullanıcı, güncellemeler veya kurulumlar sırasında bu açığı kullanarak kontrol noktalarına erişebilir.

Bu tür bir saldırıyı gerçekleştirmek için aşağıdaki adımları izleyebilirsiniz:

  1. Üzerinde Çalışılacak Hedefin Belirlenmesi ve Analiz: Öncelikle, hedef sistemin analizini yapmalısınız. Windows Installer sürümünü kontrol edin ve güncelliğini sağlayın. Sistemin zafiyetlere açık olup olmadığını tespit etmek, başarılı bir sömürü için gereklidir.

  2. Misafir MSI Dosyasının Oluşturulması: Kötü niyetli bir MSI dosyası hazırlanmalıdır. Bu dosyada gerektiğinde sembolik bağlantılar kullanarak ilgili dosya yollarını değiştiriyoruz. Windows Installer, bu dosyayı kullanarak sistem dosyalarına erişim sağlayacaktır.

   msiexec /a malicious.msi /qb TARGETDIR=C:\Path\to\symbolic\link
  1. Sembolik Bağlantıların Kullanımı: Sembolik bağlantılar kurarak sistemde yetki kazanabilirsiniz. Windows PowerShell üzerinde aşağıdaki komut ile bir sembolik bağlantı oluşturabilirsiniz:
   New-Item -ItemType SymbolicLink -Path "C:\Path\to\link" -Target "C:\Path\to\actual\file"

  1. MSI Paketi ile Sömürü: Oluşturulan sembolik bağlantılar ile eksik dosya erişimi sağlamak için MSI paketi kurulmalıdır. İlgili MSI dosyasının çalışması sırasında, belirttiğiniz yollar üzerinden yetkisiz dosyaların değiştirilmesi veya yüklenmesi sağlanabilir.

  2. Yetki Yükseltme: MSI dosyası yüklendikten sonra, saldırganın belirlemek istediği dosyalara erişim sağlayarak sistem üzerinde yönetici yetkileri elde edilebilir. Bu aşamada, eklenen veya değiştirilen dosyaların çalıştırılması ile sistem yönetimi kontrol altına alınır.

  3. Olası Geri Dönüşler ve İzlerin Silinmesi: Saldırı başarılı olduysa, izleri silmek için sistemde bulunan log dosyalarının üzerinde değişiklik yaparak saldırının tespit edilmesini önlemek önemlidir.

Kod ve potansiyel HTTP isteği örneklerine de değinecek olursak, sembolik bağlantıların oluşturunduğu aşamada aşağıdakilere benzer isteklere yer verebiliriz:

POST /install HTTP/1.1
Host: target-system
Content-Type: application/x-msdownload
Content-Length: <length>

<malicious-data>

Bu tür bir sömürü, sistem yöneticilerinin ve siber güvenlik uzmanlarının sürekli olarak güncel kalmasını ve sistemlerini bu gibi zafiyetlere karşı korumalarını gerektirmektedir. Bu tür açıkları istismar eden yöntemlerin önüne geçebilmek için, bilgisayar sistemlerinin güncellenmesi ve güçlü güvenlik politikalarının uygulanması kritik önem taşır. Her ne kadar white hat hacker bakış açısıyla bu tekniklerin incelenmesi önemliyse de, bu tarz açıklara karşı dikkatli olunmalı ve etik kurallar çerçevesinde kalınmalıdır.

Forensics (Adli Bilişim) ve Log Analizi

Microsoft Windows Installer'da bulunan CVE-2020-0683 zafiyeti, siber tehdit aktörlerinin erişim kısıtlamalarını aşarak dosya ekleme veya kaldırma gibi işlemleri gerçekleştirebilmesine olanak tanımaktadır. Bu tür bir zafiyetin varlığı, özellikle forensics (adli bilişim) ve log analizi açısından büyük bir tehlike arz etmektedir. Zafiyetin işleyiş mantığı, simgesel bağlantılar (symbolic links) kullanarak kullanıcı izinlerini aşmaktır. Bu bağlamda, bir saldırının izlerini tespit etmek ve analiz etmek için doğru log kayıtları ve imzalara (signature) odaklanmak önemlidir.

Bir siber güvenlik uzmanı, bu zafiyetin exploitation (istismar) edildiğini anlamak için öncelikle organizasyona ait SIEM (Security Information and Event Management) sistemine başvurmalıdır. SIEM sistemleri, log verilerini toplayarak analitik bir bakış açısıyla görünür hale getirir. Bu bağlamda, özellikle Access log (erişim günlükleri) ve Error log (hata günlükleri) kayıtlarına göz atmak faydalı olacaktır.

Eğer bir saldırgan zafiyeti kullanarak dosya ekleme veya kaldırma işlemleri gerçekleştirdiyse, aşağıdaki imzalara (signature) bakılmalıdır:

  1. Anormal Erişim Talepleri: Erişim loglarında, normal kullanıcı aktiviteleri dışında, kullanıcı tarafından gerçekleştirilmemiş (authorized) dosya veya dizin erişimleri aramalıdır. Özellikle MSI paketlerinin oluşturulması veya değiştirilmesi ile ilgili kayıtlar dikkatlice incelenmelidir. Aşağıdaki gibi bir kayıt dikkat çekici olabilir:
   User: System / Action: Modify / File: C:\ProgramData\TestPackage.msi

  1. Simgesel Bağlantı Tespiti: Log kayıtlarında, simgesel bağlantıları kullanan herhangi bir dosya işlemi çok dikkatli analiz edilmelidir. Örneğin, bir dosyanın beklenmeyen bir konumdan yüklendiğine dair işaretler aramak önemlidir.

  2. İzin Değişiklikleri: Access log'larda, dosya veya dizin izinlerinde anormal değişikliklerin olup olmadığı gözlemlenmelidir. Dosya erişim izinleri belirlendiği gibi kalmadıysa veya izni olmayan bir kullanıcı tarafından değiştirildiyse, bu ciddi bir alarm işareti olabilir.

  3. Kötü Amaçlı Yazılım Aktivitesi: Eğer loglarda herhangi bir kötü amaçlı yazılım (malware) tarafından oluşturulmuş veya değiştirilmiş MSI dosyalarının izleri bulunuyorsa, bu da CVE-2020-0683 zafiyetinin istismarına işaret edebilir. Örneğin:

   Malware: Trojan.Win32.FakeInstaller / Action: Modify / File: C:\Malware\Test.msi

Bu tür izleri tespit etmek için log analiz araçlarının ve SIEM sistemlerinin sunduğu analitik yetenekler kullanılmalıdır. Tespit sürecinde, anormal etkinliklerin yanı sıra kullanıcı davranışları hakkında bilgi edinmek için machine learning (makine öğrenimi) uygulamaları da önemli rol oynayabilir.

Ayrıca, güvenlik uzmanları CVE-2020-0683'ün ortaya çıkmasına yol açan temel nedenleri araştırmalı ve gerekli yamaların (patch) uygulanıp uygulanmadığını kontrol etmelidir. Kullanıcı eğitimi ve sürekli bir güvenlik farkındalığı da önleyici tedbirler arasında yer almalıdır. Genel olarak, siber saldırıların ortadan kaldırılması ve saldırı sonrası analizlerin başarıyla yapılabilmesi için detaylı log analizi yapmak hayati önem taşımaktadır.

Savunma ve Sıkılaştırma (Hardening)

Microsoft Windows Installer'daki CVE-2020-0683 zafiyeti, saldırganların belirli koşullarda sistemdeki yetki sınırlamalarını aşmasına ve dosya ekleme ya da silme işlemleri gerçekleştirmesine imkân tanımaktadır. Bu tür bir yetki artırma (privilege escalation) zafiyeti, kötü niyetli kişiler tarafından hedef sistemde yönetici yetkileri elde edilmesi için kullanılabilir. Özellikle, kötü yapılandırılmış bir sistem veya güncel tutulmayan bir ortam, bu zafiyetin istismar edilmesi için ideal hale gelir.

Böyle bir açığın kapatılması, sistemin genel güvenliği için kritik öneme sahiptir. Öncelikle, Microsoft tarafından sağlanan güvenlik güncellemelerinin düzenli olarak uygulanması gerekmektedir. Microsoft, kullanıcılar için bu tür zafiyetleri gidermek adına sürekli güncellemeler yayımlamaktadır. Sisteminizi güncel tutmak, açıkların istismar edilme riskini büyük ölçüde azaltır.

Alternatif olarak, Windows Installer'a yönelik bir firewall (WAF - Web Application Firewall) kural seti oluşturmak da başka bir güvenlik katmanı ekleyebilir. Örneğin, belirli MSI dosyalarının yüklenmesini engelleyerek veya sadece güvenilir kaynaklardan gelen dosyalara izin vererek proaktif bir yaklaşım sergilemek mümkündür. Aşağıda örnek bir WAF kuralı verilmiştir:

SecRule FILEPATH "@streq /path/to/suspicious.msi" "id:1001,phase:2,deny,status:403,msg:'Blocked harmful MSI package'"

Bu kural, belirli bir dosya yolu ile eşleşen MSI dosyalarını yüklemeye çalışan isteklere engel olacaktır. Böylece, potansiyel bir tehdit önceden bertaraf edilmiş olur.

Kurumsal düzeyde sıkılaştırma (hardening) önerileri kapsamında, sistemdeki kullanıcı hesaplarının yetkilerinin gözden geçirilmesi önem arz eder. Kullanıcıların “kullanıcı” grubunda tutularak yönetici grubuna erişim izni verilmemesi, yetki artırma saldırılarına karşı etkili bir önlem olabilir. Ek olarak, sistemde yalnızca ihtiyaç duyulan hizmetlerin aktif olması sağlanmalı ve gereksiz servisler kapatılmalıdır. Böylece, potansiyel saldırı yüzeyleri sınırlanmış olur.

Bir diğer önemli sıkılaştırma önerisi ise, dosya denetim mekanizmalarının aktif hale getirilmesidir. Bu mekanizmalar, dosya değişikliklerini ve erişimlerini izleyerek şüpheli etkinlikler tespit etmenize olanak tanır. Örneğin, Windows 10 ve üzeri işletim sistemlerinde Denetim Günlüğü (Audit Log) ayarlarını yapılandırmak için aşağıdaki adımlar izlenebilir:

  1. Denetimden geçirilmek istenen dosya veya klasörün özelliklerine gidin.
  2. "Güvenlik" sekmesinde "Gelişmiş" butonuna tıklayın.
  3. "Denetim" sekmesine gidin ve "Ekle" butonuna tıklayarak yetki verilen kullanıcıları ekleyin.

Sonuç olarak, CVE-2020-0683 gibi zafiyetler ciddiyetle ele alınmalı ve hem teknik hem de organizasyonel tedbirler ile sistemlerin güvenliği artırılmalıdır. Güncel yazılımlar, düzgün yapılandırmalar ve etkili izleme mekanizmaları, bilinmeyen güvenlik açıklarının kötü niyetli kişiler tarafından istismar edilme olasılığını en aza indirecektir. CyberFlow platformları için bu tür önlemler almak, sadece sistem güvenliğini sağlamakla kalmayıp, aynı zamanda kurumsal verilerinizi de koruma altına alacaktır.