CVE-2021-36934 · Bilgilendirme

Microsoft Windows SAM Local Privilege Escalation Vulnerability

CVE-2021-36934 zafiyeti, VSS ile SAM dosyasına erişim sağlayarak SYSTEM yetkisi elde etmeye olanak tanır.

Üretici
Microsoft
Ürün
Windows
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
8 dk okuma

CVE-2021-36934: Microsoft Windows SAM Local Privilege Escalation Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2021-36934, Microsoft Windows işletim sisteminde bulunan bir yerel ayrıcalık artırma zafiyetidir. Bu zafiyet, Volume Shadow Copy (VSS) yani Hacim Gölgeleme Kopyası mevcut olduğunda, kullanıcıların SAM (Security Account Manager) dosyasını okuyabilmesine olanak tanır. Bu dosya, sistemdeki kullanıcıların kimlik bilgilerini içermektedir. Eğer bir kötü niyetli kullanıcı bu dosyayı erişim imkânı bulursa, sistem seviyesinde ayrıcalıklara sahip olabilmekte ve dolayısıyla bir sistemin tam kontrolünü ele geçirebilmektedir.

Zafiyet, 2021 yılında sayesinde Microsoft'un yaptığı regelmäßige güvenlik güncellemeleri ile gündeme gelmiş ve özellikle güncel olmayan sistemlerde büyük bir sorun teşkil etmiştir. Microsoft, bu zafiyeti 2021 yılı Temmuz ayında ilk kez keşfetmiş ve takip eden güvenlik güncellemeleri ile düzeltilmesini sağlamıştır. Zafiyet ile ilgili yapılan araştırmalar, özellikle düşük güvenlik önlemleri ve kullanıcılara sunulan yetki aşımınının (Privilege Escalation) zayıf noktalarından dolayı bu zafiyetin istismar edilmeye çok açık olduğunu göstermiştir.

CWE-1220 (Common Weakness Enumeration - Ortak Zayıflık Sıralaması) kapsamında bu zafiyet, sistem dosyalarına erişimin yanlış yönetimi ile ilişkilendirilmiştir. Özellikle, Hacim Gölgeleme Kopyası kullanımının yaygınlığı göz önüne alındığında, bu zafiyetin risk düzeyi oldukça yüksektir. Birçok sektör, veri yedekleme süreçlerinde VSS kullanmaktadır; dolayısıyla bu zafiyet sağlık, finans, eğitim ve hükümet gibi kritik alanlarda önemli güvenlik sorunlarına yol açabilir.

Gerçek dünya senaryolarında, kötü niyetli bir saldırganın bu zafiyeti nasıl istismar edebileceğini düşünelim. Örneğin, bir saldırgan, öncelikle sistemde bir kullanıcı hesabı oluşturabilir. Ardından, bu kullanıcının sistemle sınırlı haklarının ötesine geçmek için bir Volume Shadow Copy (Hacim Gölgeleme Kopyası) sorgulayabilir. Eğer sistem yöneticisi yedekleme işlemlerinde yeterli güvenlik önlemleri almamışsa, saldırgan SAM dosyasına erişebilir ve burada saklanmakta olan kullanıcı şifrelerini elde edebilir.

Bir başka olasılık da, bir ağ ortamında çalışan bir sunucu üzerindeki zafiyetin istismar edilmesidir. Örneğin, eğer bir sunucu Hacim Gölgeleme Kopyası kullanıyorsa ve buna karşı uygun güvenlik önlemleri alınmamışsa, saldırgan bu kopyalardan birinin kopyasını alarak SAM dosyasına ulaşabilir. Elde edilen şifreler ile saldırgan, sistemdeki tüm kullanıcı hesaplarının kontrolünü ele geçirebilir.

Sonuç olarak, CVE-2021-36934, Microsoft Windows sistemlerinde kritik bir zayıflık teşkil etmektedir. Bu zafiyetin etkilerinin minimize edilebilmesi için sistem yöneticileri, güncelleme süreçlerine önem vermeli ve Hacim Gölgeleme Kopyası gibi yedekleme süreçlerini dikkatlice yönetmelidir. Güçlü parola politikaları ve çok faktörlü kimlik doğrulama gibi ek güvenlik katmanları da zafiyetin kötüye kullanılmasını önlemek için önerilmektedir. Unutulmamalıdır ki, her zafiyet, potansiyel bir tehdit taşır ve bu zafiyetlere karşı proaktif önlemler almak, sistem güvenliğini artırmanın en etkili yoludur.

Teknik Sömürü (Exploitation) ve PoC

CVE-2021-36934, Microsoft Windows işletim sisteminde bulunan ve Windows Security Account Manager (SAM) dosyasına erişim sağlayarak yerel ayrıcalıkları (Local Privilege Escalation) artırmaya imkan tanıyan bir zafiyettir. Bu zafiyet, bir Volume Shadow Copy (VSS) yedekleme noktası mevcut olduğunda, kullanıcıların SAM dosyasını okuyabilmesine ve dolayısıyla sistemdeki kullanıcı hesaplarının şifrelerini ele geçirebilmelerine bağlı olarak ciddi sorunlar ortaya çıkarmaktadır. Bu durum, herhangi bir kullanıcının sistem düzeyinde yetkilere ulaşmasına olanak tanır ve dolayısıyla kötü amaçlı yazılımların (malware) etkisini artırarak kritik güvenlik açıklarına yol açabilir.

Zafiyetin temelinde yatan mecra, VSS'nin sistemdeki dosyaların yedeklemesini gerçekleştirmesi ve bu yedeklemelerin uygun şekilde korunmamasıdır. Bir saldırgan, eğer sistemde bir VSS yedeği mevcutsa, gerekli adımları takip ederek SAM dosyasının bulunduğu yedekleme alanına erişim sağlayabilir. İşte bu süreç adım adım nasıl gerçekleştirileceğine dair bir yöntem:

Öncelikle, sistemde mevcut olan VSS kopyalarını görebilmek için aşağıdaki komut kullanılır:

vssadmin list shadows

Bu komut, sistemde oluşturulmuş olan tüm VSS yedeklerini listeleyecektir. Eğer bir veya birkaç yedek mevcutsa, bu durumda bir sonraki aşamaya geçiş yapılabilir.

İkinci adımda, belirli bir yedekten SAM dosyasına erişim sağlamak için yedekleme noktası kullanılacaktır. Bunun için aşağıdaki komutla VSS yedeğinden bir dosya çıkarılabilir:

# Aşağıdaki komut ile belirli bir VSS yedeğinden /Windows/System32/config/SAM dosyasını çıkartıyoruz
vssadmin create shadow /for=c:
copy \\?\\GLOBALROOT\Device\HarddiskVolumeShadowCopyX\Windows\System32\config\SAM C:\temp\SAM

Yukarıda X, yedekleme noktasının numarasını temsil etmektedir. Bu komut, SAM dosyasını belirtilen dizine kopyalar.

Üçüncü adımda, elde edilen SAM dosyasını analiz etmek için bir araç kullanmak gerekecektir. En yaygın kullanılan araçlardan biri chntpw’dir. Aşağıdaki komut ile SAM dosyasından kullanıcı şifreleri çıkarılabilir:

chntpw -e C:\temp\SAM

Bu durumda, SAM dosyası üzerinde işlem yapabilmek ve kullanıcı bilgilerine erişebilmek için doğru yetkilere sahip bir araç kullanılmalıdır. Kullanıcıların hash’leri bu aşamada ele geçirilebilir ve daha sonra bunlar kırılabilir.

Son olarak, zafiyetin kötüye kullanımı sonucunda elde edilen bilgileri kullanarak, bir kullanıcıyı hedef alıp sistemde gerekli yetkilere sahip olunur. Aynı zamanda, şifre kırma (cracking) yöntemleri ile kullanıcı hesaplarının şifrelerini ele geçirmek mümkündür. Elde edilen sistem düzeyi yetkilerle, kolaylıkla bir exploit geliştirilerek daha fazla zararlı eylemler gerçekleştirilebilir.

CVE-2021-36934 zafiyeti, sadece detaylı bir teknik bilgi gerektiren bir durum değil, aynı zamanda güvenlik yazılımlarının ve güncellemelerinin ne kadar kritik olduğunu bir kez daha gözler önüne seriyor. Hem bireysel kullanıcılar hem de kurumlar bu tür zafiyetlere karşı her zaman dikkatli olmalı ve sistem güncellemeleri ile güvenlik önlemlerini sürekli olarak gözden geçirmelidir. Güçlü parolalar, düzenli yedekleme ve sistem izleme, bu tür tehditler karşısında en etkili önlemler arasında yer alır.

Forensics (Adli Bilişim) ve Log Analizi

CVE-2021-36934, Microsoft Windows sistemlerinde bulunan ve kullanıcıların sistem düzeyinde yetki yükseltmesi (privilege escalation) yapmalarına olanak tanıyan bir zafiyettir. Özellikle, bir Volume Shadow Copy (VSS) yedeği mevcutsa, kullanıcılar SAM (Security Account Manager) dosyasını okuyabilmekte ve bu sayede yetkilerini SYSTEM düzeyine çıkarabilmektedirler. Bu tür bir zafiyet, siber suçlular için ciddi bir tehlike oluşturmakta, özellikle de sistem yöneticilerinin ve güvenlik uzmanlarının dikkat etmesi gereken bir konu haline gelmektedir.

Adli bilişim (forensics) ve log analizi, bu tür zafiyetlerin izlenmesi ve kötüye kullanımını önlemek için kritik öneme sahiptir. Siber güvenlik uzmanları, zafiyetin kullanıldığını tespit etmek için log dosyalarında belirli imzaları (signatures) incelemek durumundadırlar. Örneğin, Access log’lar, bir sistemdeki kullanıcı faaliyetlerini gösterirken, error log’lar sistemde meydana gelen hataları kaydeder. Bu logları analiz ederek, potansiyel bir saldırı tespit edilebilir.

Siber güvenlik uzmanları, aşağıdaki gibi bazı anahtar imzalara bakarak CVE-2021-36934 zafiyetine yönelik bir saldırıyı tespit edebilirler:

  1. Erişim İhlalleri: Kullanıcıların SAM dosyasına erişim talebi gerçekleştirdiği durumlar. Bu taleplerin beklenmeyen bir şekilde artışı, bir saldırı girişiminin habercisi olabilir.
   2023-10-01 10:32:10 User: johndoe Access: READ File: C:\Windows\System32\config\SAM
  1. Hatalı Yetki Aşımı: Log dosyalarında, beklenmeyen bir şekilde, erişim yetkilerinin artırılması ile ilgili hata kayıtları. Örneğin, normalde sistem yöneticisi olarak giriş yapmaması gereken bir kullanıcının SYSTEM seviyesinde yetki kazanmaya çalışması.
   2023-10-01 10:35:12 User: johndoe Error: Attempt to escalate privileges to SYSTEM level
  1. Volume Shadow Copy Olayları: VSS ile ilgili logların incelenmesi; kullanıcının VSS nesnesine erişim talebi veya gözetleme eylemleri. Bu, bir saldırganın sistemdeki yedekleri araştırdığını gösterir.
   2023-10-01 10:40:00 Event: VSS Shadow Copy created by User: johndoe

Adli bilişim uzmanları, bu logları incelediklerinde, saldırının nasıl gerçekleştirildiği ve ne şekilde tespit edilebileceği hakkında derin bir anlayış geliştirebilirler. Sistem üzerinde bulunan diğer koruma önlemleri (örneğin, SIEM çözümleri) ile birlikte, analistlerin potansiyel saldırıları zamanında tespit etmelerine olanak sağlar. Örneğin, bir SIEM aracı, anormallik tespiti algoritmaları kullanarak, kullanıcı davranışlarındaki olağan dışı değişiklikleri hızlı bir şekilde algılayabilir.

CVE-2021-36934'le ilgili zafiyetin istismar edilmesinin önlenmesi için, sistemlerde güncellemelerin (patch) yapılması ve VSS ile ilgili izinlerin sıkı bir şekilde yönetilmesi büyük önem taşımaktadır. Kullanıcıların yetkileri sıkı bir şekilde denetlenmeli ve olası saldırı ssenaryoları için hazırlıklar yapılmalıdır. Bu tür zafiyetler, siber güvenlik alanında sürekli olarak dikkatlice izlenmeli ve analiz edilmelidir. Sonuç olarak, etkili log analizi, siber koruma stratejilerinin merkezinde yer almakta ve olası tehditlerin önceden tespit edilmesi için vazgeçilmez bir yöntemdir.

Savunma ve Sıkılaştırma (Hardening)

CVE-2021-36934, Microsoft Windows işletim sistemine ait bir zayıflık olup, sistem sürücüsünün bir Volume Shadow Copy (VSS) yedeği mevcut olduğunda, kullanıcıların SAM (Security Account Manager) dosyasını okuyarak sistem seviyesine (SYSTEM) çıkarım yapabilmelerine olanak tanımaktadır. Bu tür bir zafiyet, kötü niyetli bir kullanıcı için ciddi bir fırsat yaratabilir ve sistemde tam kontrol elde edilmesine yol açabilir. Özellikle, kurumsal ağlarda, yedekleme sistemleri üzerinden bu tür bir zayıflıktan yararlanmak potansiyel bir tehdit oluşturur ve bu nedenle dikkatlice izlenmelidir.

Zafiyeti kapatmanın en etkili yollarından biri, sistemdeki Volume Shadow Copy’lerin (VSS) yönetimidir. İlk olarak, bu yedeklerin ne kadar süreyle saklanacağı ve kimlerin erişimine izin verileceği konusunda net politikalar belirlenmelidir. Ayrıca, gereksiz yedeklerin otomatik olarak silinmesini sağlamak, potansiyel bir saldırganın sistemde bırakacağı olumsuz etkileri minimize edecektir.

Ayrıca, güvenlik duvarı (WAF) kuralları oluşturmak, saldırının önlenmesine yardımcı olabilir. Örneğin, aşağıdaki basit WAF kuralı, belirli IP adreslerinin VSS yedeklerine erişim sağlama yetkisini iptal edebilir:

<Directory "C:/ShadowCopies">
    Order Deny,Allow
    Deny from all
    Allow from 192.168.1.0/24
</Directory>

Bu kural, yalnızca yerel ağdaki belirli IP adreslerine erişim izni vererek, dışarıdan gelebilecek saldırılara karşı bir önlem oluşturur. Ancak, kuralların sürekli gözden geçirilmesi ve güncellenmesi gerekmektedir.

Kalıcı sıkılaştırma önerileri arasında, Windows işletim sisteminin en güncel güvenlik yamalarının uygulanması da yer almaktadır. Microsoft, bu tür zafiyetleri gidermek için düzenli olarak güncellemeler yayınlamaktadır ve bu güncellemelerin zamanında uygulanması, mevcut tehditlerle başa çıkabilmek için kritik öneme sahiptir.

Raporlama ve gözetim sistemleri kurulması, bu tür zafiyetlerin tespit edilmesi adına önemli bir adımdır. Logs (günlük) dosyalarının düzenli bir şekilde izlenmesi, sistemde olağan dışı bir etkinlik olduğunda hızlıca müdahale edilmesini sağlar.

Son olarak, kullanıcı eğitimi de büyük bir öneme sahiptir. Çalışanların sistem güvenliği konusunda bilinçlendirilmesi, sosyal mühendislik (social engineering) tekniklerine karşı direnci artırabilir. Kullanıcıların, herhangi bir doğrulanmamış kaynaktan gelen dosyaları veya bağlantıları açmamaları gerektiği konusunda eğitilmeleri, olası tehditlerin önüne geçebilir.

CVE-2021-36934 açığının kapatılması için bu önerilerin dikkate alınması, sistemlerinizi daha güvenli hale getirirken potansiyel saldırılara karşı da koruma sağlar. Unutulmamalıdır ki, siber güvenlik, sürekli bir mücadele gerektirir ve güncel kalmak bu mücadelenin en önemli parçasıdır.