CVE-2023-36874 · Bilgilendirme

Microsoft Windows Error Reporting Service Privilege Escalation Vulnerability

CVE-2023-36874, Microsoft Windows Error Reporting Service'de gizli bir güvenlik açığı ile yetki yükseltme riski.

Üretici
Microsoft
Ürün
Windows
Seviye
yüksek
Yayın Tarihi
02 Nisan 2026
Okuma
8 dk okuma

CVE-2023-36874: Microsoft Windows Error Reporting Service Privilege Escalation Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

Microsoft Windows Error Reporting Service, kullanıcılara yaşadıkları hatalar hakkında geri bildirimde bulunmalarını sağlayan bir bileşendir. Ancak, bu hizmette tespit edilen CVE-2023-36874 kodlu zafiyet, kötü niyetli bir kullanıcının sistemde yetki yükseltmesine (privilege escalation) olanak tanımaktadır. Bu tür zafiyetler, saldırganların sisteminize giriş yapmalarına ve gerekli izinleri almadan kritik verilere veya sistem bileşenlerine erişim sağlamalarına neden olabilir.

Zafiyetin kökeni, Microsoft’un Error Reporting Service bileşeninde yer alan belirli bir işlevin doğrulanmamış bir şekilde tasarlanmış olmasıdır. Hatalı bir kontrol mekanizması, saldırganların, sistemdeki mevcut izinlerini artırarak, sistemin daha derin katmanlarına erişim kazanmalarına olanak tanımaktadır. Bu tür bir durum, kötü niyetli yazılımların kurulumu veya önemli verilerin ele geçirilmesi gibi ciddi sorunlara yol açabilir.

CVE-2023-36874 durumunda, hata özellikle sistemin hata raporlama bileşeninde meydana gelmiştir. Bu, birçok yazılım sisteminin ve uygulamanın bu bileşeni kullandığı göz önüne alındığında oldukça önemli hale gelmektedir. Hata, Windows’un birçok farklı sürümünü etkilemektedir ve özellikle sağlık, finans ve eğitim gibi sektörel alanlarda büyük etkilere sebep olabileceği düşünülmektedir. Bu sektörler, genellikle yüksek düzeydeki bilgi ve veri güvenliği gereksinimleri ile karşı karşıya kalmaktadır; dolayısıyla böyle bir zafiyetin varlığı, büyük veri ihlalleri ve ciddi mali kayıplara yol açabilir.

Gerçek dünya senaryolarında, bu tür zafiyetler, genellikle zararlı yazılımların ve siber saldırıların temel sebeplerindendir. Örneğin, bir saldırgan, Windows Error Reporting Service üzerinden sistemdeki yetkilerini yükselterek, yönetici haklarına sahip olabilir ve burada kötü niyetli kodlar çalıştırabilir. Aşağıdaki gibi kod blokları örnek verilerek, bu tür bir senaryonun etkileri daha iyi anlaşılabilir:

# Kötü niyetli kod çalıştırma örneği
powershell -ExecutionPolicy Bypass -File malicious_script.ps1

Saldırgan ayrıca, zafiyeti kullanarak malware (kötü amaçlı yazılım) dağıtabilir ya da RCE (Remote Code Execution - Uzaktan Kod Çalıştırma) saldırıları gerçekleştirerek, kurban sistemine zararlı yazılımların yüklenmesine olanak tanıyabilir.

Bu nedenle, zafiyetin herhangi bir sistemde varlığı, o sistemin tüm güvenlik yapısını tehdit edebilir. Saldırganlar, sık sık güvenlik açıklarını hedef alarak kullanıcılara ve kurumsal sistemlere erişim sağlamanın yollarını ararlar. Bu tür bir durumda atılacak en önemli adım, sistemin güncellenmesi ve zafiyetin kapatılmasıdır. Microsoft, bu tip zafiyetler için genellikle hızlı güncellemeler yayınlamakta ve kullanıcıların sistemlerini güncel tutmalarını önermektedir.

Sonuç olarak, CVE-2023-36874, açıkladığı gibi, Microsoft Windows Error Reporting Service üzerinde ciddi bir zafiyet barındırmaktadır. "White Hat Hacker" perspektifinden bakıldığında, bu tür zafiyetlerin erken tespit edilmesi ve kapatılması, hem bireysel kullanıcıların hem de kurumsal yapıların güvenliğini sağlamak adına büyük önem arz etmektedir. Bu nedenle, sistemlerinizi sürekli olarak güncel tutmak ve potansiyel zafiyetleri göz önünde bulundurarak önlemler almak, siber güvenlik stratejilerinin önemli bir parçasıdır.

Teknik Sömürü (Exploitation) ve PoC

Microsoft Windows Error Reporting Service (WER) içindeki CVE-2023-36874 zafiyeti, kullanıcıların sistemdeki yetkilerini artırmalarına olanak sağlayan bir istismar mekanizması sunmaktadır. Bu zafiyet, özellikle kötü niyetli bir kullanıcının sınırlı yetkilere sahip bir hesapla sisteme erişim sağladığı durumlarda büyük bir tehdit oluşturur. Bu güvenlik açığına yönelik sömürü süreci, üç ana aşama üzerinden ilerleyebilir: zafiyeti tanımlama, hızlı bir şekilde hedef sistem üzerinde bir yetki yükselişi (privilege escalation) gerçekleştirme ve başarılı bir şekilde erişim sağlanması.

Öncelikle, CVE-2023-36874'ün sömürülmesi için temel gereksinimlere ihtiyaç vardır. Kötü niyetli kullanıcı, bir şekilde hedef sisteme erişim sağlamalıdır. Bu erişimi elde etmek için genellikle sosyal mühendislik tekniklerinden, zararlı yazılımlardan veya şifrelere brute-force saldırılarından yararlanabilir. Hedef sistemdeki WER hizmetinin aktif olduğundan emin olmak önemlidir.

Zafiyetin temelinde, WER hizmetinin işleyişi sırasında güvenli olmayan bir dosya yolu kullanması yatmaktadır. Sömürü sürecinin ilk aşaması, bu dosya yollarını belirlemek olacaktır. Hedef sistemdeki dosya ve dizin yapısını analiz ederek, bu yolları ve hizmetin çalışma mantığını incelemekte fayda var. Örneğin:

import os

# Potansiyel WER yolu
wer_path = "C:\\ProgramData\\Microsoft\\Windows\\WER\\ReportQueue"

# Dosya ve dizinleri listeleme
for root, dirs, files in os.walk(wer_path):
    for file in files:
        print(os.path.join(root, file))

Bu kod, WER hizmetinin rapor dizinini tarayarak, hedef sistemde mevcut olan dosya yollarını açığa çıkaracaktır.

Devamında, zafiyetten yararlanmak için bir exploit çalıştırılmalıdır. Bunun için hazırlanmış bir Python exploit taslağı şöyle olabilir:

import ctypes
import sys

# Yetki yükseltilmiş bir işlemi açma
def elevate_process():
    try:
        # WER hizmeti için gerekli işlemi çağır
        ctypes.windll.shell32.ShellExecuteA(None, b'runas', sys.executable, b'argümanlar', None, 1)
    except Exception as e:
        print(f"Hata: {e}")

if __name__ == "__main__":
    elevate_process()

Yukarıda tanımlanan kod, çalıştırıldığında, kullanıcıdan yönetici yetkisi talep edecek ve bu sayede zafiyeti kullanarak sistem üzerinde yönetici yetkilere sahip bir işlem başlatmayı hedefleyecektir.

Son aşama, exploit'in başarılı bir şekilde işlediğini doğrulamaktır. Bu aşamada sistemdeki yetkilerin artıp artmadığını kontrol etmek için, erişim izinlerini sorgulayabiliriz:

import os

# Yetkileri kontrol et
def check_privileges():
    if os.access("C:\\Windows\\System32", os.W_OK):
        print("Yönetici yetkileri mevcut!")
    else:
        print("Yönetici yetkileri yok.")

if __name__ == "__main__":
    check_privileges()

Bu kod, belirtilen dizinde yazma izni olup olmadığını kontrol ederek, exploit'in başarılı olup olmadığını doğrular. Eğer yazma izni varsa, bu, yetki yükseltme işleminin başarıyla gerçekleştiğini gösterir.

Sonuç olarak, CVE-2023-36874 zafiyetinin sömürülmesi, kötü niyetli bir kullanıcının sistemdeki erişim düzeyini artırmasına imkan tanırken, bu tür zafiyetlerin önlenmesi için güncel yazılım ve düzenli güvenlik denetimleri büyük önem taşımaktadır. White Hat hackerlar olarak, bu tür zafiyetleri tanımlayıp, sistem güvenliğini artırmak amacıyla bilinçli bir şekilde çalışmalıyız.

Forensics (Adli Bilişim) ve Log Analizi

Microsoft Windows Error Reporting Service (WER), kullanıcıların sistem hataları hakkında Microsoft'a bilgi iletmelerine olanak tanıyan bir servistir. Ancak, bu servis, CVE-2023-36874 zafiyetiyle sebep olabileceği güvenlik tehditleri nedeniyle siber güvenlik uzmanları tarafından dikkatlice izlenmelidir. Zafiyet, bir kullanıcının yetki seviyesini artırarak sistem üzerindeki kaynaklara erişim sağlamasına yol açabilir. Özellikle, bu tür bir saldırı sonrası sistem üzerinde gerçekleştirilmiş aktivitelerin izlenmesi ve analiz edilmesi büyük önem taşır.

Siber güvenlik uzmanı, CVE-2023-36874 zafiyetiyle ilgli bir saldırının yapıldığını SIEM (Security Information and Event Management) veya log dosyaları üzerinde tespit etmek için bazı kritik imzalara (signature) dikkat etmelidir. Öncelikle, Windows Error Reporting Service'in loglarında anormal davranışları takip etmek önemlidir. Örneğin, beklenmeyen hata raporları veya başka kullanıcıların yetkilendirilmediği durumlarda oluşan raporlama işlemleri gözlemlenmelidir.

Log analizi sırasında aşağıdaki noktalara dikkat edilmelidir:

  1. Hata Raporları: Hata raporları üzerinde detaylı bir inceleme yapılmalıdır. Eğer sistemde sık sık aynı hata kodları görülüyorsa veya hata raporlarının kaynaklarında beklenmeyen kullanıcı hesapları yer alıyorsa, bu durum şüphe uyandırmalıdır.
   Success Audit: User: Admin
   Event ID: 1000
   Faulting application name: WER.exe

  1. Yetkilerde Anormal Artış: Kullanıcı yetkilerinde anormal bir artış olup olmadığını kontrol etmek gerekir. Bu tür bir durum genellikle bir saldırının gerçekleştiğinin göstergesidir.

  2. AUTH Bypass (Yetki Atlatma): Kullanıcıların, normalde erişim iznine sahip olmadıkları kaynaklara erişim sağlayıp sağlamadıkları loglarda izlenmelidir. 

   Access Control Entry: User: User1
   Access Rights: Full control

  1. Giriş Denemeleri: Log dosyalarında, sistemde normalden fazla giriş denemesi yapılmışsa bu durum özellikle incelenmelidir. Özellikle başarılı girişlerin hemen ardından gelen şüpheli işlemler, potansiyel bir saldırı işareti olabilir.

  2. İşlem Zamanları: Zamanlamalar, dikkat edilmesi gereken önemli bir faktördür. Gece saatlerinde veya beklenmedik zaman dilimlerinde meydana gelen hatalar veya işlemler, potansiyel bir saldırı işareti olarak değerlendirilmelidir.

  3. Şüpheli IP Adresleri: Log analizi esnasında sistem kaynaklarına erişim sağlayan IP adreslerinin izlenmesi önemlidir. Bilinen zararlı IP'ler listesiyle karşılaştırılarak anormal bir bağlantı tespit edilebilir.

CVE-2023-36874 zafiyetini tespit etmek ve analiz etmek için bu tür bir yaklaşım benimsemek hem ağa yönelik potansiyel saldırıları önceden tespit etmeye hem de sistemin güvenliğini artırmaya yardımcı olacaktır. Adli bilişim (Forensics) ve log analizi süreçleri, siber güvenlik uzmanlarının saldırıya uğramış sistemlerde iz bırakacak zararlı aktiviteleri tespit etmelerine olanak tanır. Unutulmamalıdır ki, veri güvenliği sürekli bir süreçtir ve bu tür detayların düzenli olarak izlenmesi, olası tehditlerin önlenmesi açısından hayati öneme sahiptir.

Savunma ve Sıkılaştırma (Hardening)

Microsoft Windows Error Reporting Service içinde tespit edilen CVE-2023-36874 zafiyeti, siber saldırganların sistemdeki kullanıcı haklarını yükseltmesini mümkün kılan bir sıkılaştırma açığıdır. Bu tür bir zafiyet, özellikle saldırganların önceden sistemde mevcut olan kullanıcı hesapları üzerinden erişim sağlayarak, daha yüksek yetkilere ulaşmalarını ve kritik sistem bileşenlere zarar vermelerini ya da veri çalmalarını kolaylaştırabilir.

Bu açığın kapatılması için öncelikle sistem güncellemeleri ve yamalar kullanmak oldukça önemlidir. Microsoft, bu tür zafiyetleri gidermek için düzenli olarak kritik güncellemeler sunmaktadır. İlk olarak, işletim sisteminin en son güncellemelerle yüklü olup olmadığından emin olmak gerekir. Güncellemeleri kontrol etmek için "Ayarlar" menüsünden "Güncelleme ve Güvenlik" sekmesine geçilebilir ve "Güncellemeleri kontrol et" seçeneği aracılığıyla güncel durumu sorgulayabilirsiniz.

Ayrıca, bu tür bir zafiyeti sınırlamak için alternatif firewall (WAF - Web Application Firewall) kuralları uygulanabilir. WAF, gelen bağlantıları analiz eder ve kötü niyetli istekleri filtreleyerek açığın kötüye kullanılmasını engelleyebilir. Örneğin, aşağıdaki gibi kurallar oluşturarak potansiyel olarak tehlikeli sorguları engellemeyi amaçlayabilirsiniz:

SecRule REQUEST_METHOD "^(GET|POST)$" \
"id:1000001,phase:1,deny,status:403" \
"t:none,ctl:requestBodyProcessor=URLENCODED"

Yukarıdaki kural, sadece belirli HTTP istek yöntemlerini (GET ve POST) kabul eder ve diğer tüm yöntemleri engeller. Ayrıca, dikkatli bir logging (günlük kaydı) ve uyarı mekanizmaları kurarak, potansiyel saldırılar öncesinde bilgilendirme alabilirsiniz.

Sıkılaştırma (hardening) için öneriler arasında sistemde gereksiz servislerin devre dışı bırakılması da yer alır. Windows işletim sistemi, çeşitli servisler içerir; bu servislerin ihtiyaç duyulmayanları kapatılmalıdır. Bunun yanında, "User Account Control" (UAC - Kullanıcı Hesabı Kontrolü) ayarlarının, istenmeyen değişikliklere karşı daha analitiktir şekilde yapılandırılması önerilir.

Güvenli ağ yapılandırması da sıkılaştırma sürecinde kritik bir rol oynar. Portların yalnızca gerekli olanları açık bırakılmalı; örneğin, 80 (HTTP) ve 443 (HTTPS) dışındaki tüm portlar kapatılmalıdır. Ayrıca, ağ içi erişimi minimum seviyeye indirmek için segmentasyon yapılarak, yalnızca belli cihazların belirli kaynaklara erişimi sağlanmalıdır.

Son olarak, sistemlerin hassasiyetine göre, kullanıcıların erişim izinlerinin gözden geçirilmesi ve gereksiz yetkilerin kaldırılması da oldukça faydalı olacaktır. Bu, saldırganların sistemdeki itilaf noktalarını değerlendirmesine ve kötüye kullanmasına olanak tanımamış olur.

Tüm bu önlemler, CVE-2023-36874 açığını kapatmanın yanı sıra, genel sistem güvenliğini artırmak için de son derece kıymetlidir. Siber saldırılardan korunmak için "Siber Hijyen" uygulamaları (kullanıcı eğitimleri, düzenli güncellemeler) da ihmal edilmemelidir. Yapılan her bir uygulama, sistem güvenliğinin artırılmasına ve potansiyel tehditlerin en aza indirilmesine katkıda bulunacaktır.