Fiziksel Olarak Erişim Sağlanan Windows İşletim Sisteminde Launch Startup Repair Özelliğinin İstismar Edilerek Komut Satırının Elde Edilmesi

Kurumlardaki bilgisayarların fiziksel güvenliği, kritik öneme sahiptir. Bu yazıda gerekli önlemler alınmamış ve fiziksel olarak erişim sağlanmış olan bir Windows 7 bilgisayarda, Başlangıç Onarımı (Launch Startup Repair) özelliği kötüye kullanılarak, kimlik bilgileri olmadan (ve bilgisayar başka bir işletim sistemi ile boot edilmeden) oturum açılabileceği görülecektir.

Windows bir hata aldığında Windows işletim sistemi, Launch Startup Repair modunda açılması için bir öneride bulunur. Bu yazıda, bu özellik kötüye kullanılarak Windows komut satırı SYSTEM hakları ile elde edilecektir. Bu amaçla öncelikle, bilgisayar açıldığında bir şekilde “Windows Error Recovery” ekranına getirilir. Bunun için bilgisayar yeniden başlatılırken, işletim sistemi yüklenmesi sırasında zorla bilgisayar yeniden başlatılabilir. Aşağıdaki ekranda “Launch Startup Repair (recommended)” seçeneği seçilir.

Seçimden sonra, Windows dosyaları otomatik olarak yüklenir.

Otomatik olarak onarım başlar.

Geri dönüşüm noktası oluşturma ekranı istenebilir. Bu talep reddedilir (Cancel).

Onarımın yapılamadığı hatası ile karşılaşılır.

Hata mesajı açılınca en alt kısımda, gizlilik sözleşmesinin yazılı olduğu dosya bağlantısı tıklanır.

Açılan Notepad uygulamasında komut satırı açılabilir (File > Open), dosya sisteminde işlemler gerçekleştirilebilir.

Not: Bazı durumlarda normalde C:, D: diye giden sürücü isimleri değişiklik gösterebilir. Yani normalde C: diskine yüklenen sistem, D: diskindeymiş gibi gözükebilir.

Bu adımdan sonra 3 yöntem ile işletim sistemine kimlik doğrulaması gerçekleştirilmeden erişilmeye çalışılacaktır.

 

Deneme – 1: Kullanıcı Oluşturma (Başarısız)

Komut satırı açılarak kullanıcı ekleme işlemi yapılabilir.

whoami
net user saldirgan Aa123456 /add
net localgroup Administrators saldirgan /add
net user saldirgan

Ancak gerçekte bu kullanıcı hesap olarak eklenmez, yani bu hesap (hesap, Users grubuna eklense bile) ile oturum açılamaz.

 

Deneme – 2: Kayıt Defteri’nden Yapışkan Tuşlar Hilesi (Başarısız)

Yapışkan tuşlar kullanılarak 5 kere SHIFT tusuna basıldığında komut satırı açılması sağlanmak istenebilir.

whoami
net user
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v Debugger /t REG_SZ /d “C:\Windows\System32\cmd.exe” /f

Launch Repair Startup ile elde edilen komut satırında Kayıt Defteri açıldığında değişikliğin gerçekleştiriği görülmektedir.

Ancak bu değişiklik Kayıt Defteri’nde gerçekleşmez. Yani, yapılan işlemler işletim sistemi açıldığında çalışmaz ve 5 kere SHIFT tuşuna basıldığında komut satırı elde edilemez.

 

Deneme – 3: Disk Sisteminde Utilman.exe Hilesi (Başarılı)

Fiziksel olarak erişim sağlanan bir bilgisayarda Utilman.exe (veya sethc.exe, magnify.exe, osk.exe, narrator.exe,…) gibi dosyalar cmd.exe ile değiştirildiğinde; Windows oturum açma ekranında komut satırı elde edilebilir. Notepad açıkken “File > Open” adımları izlenip disk sistemine erişildiğinde, Utilman.exe dosyasının adı Utilman_Orijinal.exe olarak değiştirilip, cmd.exe dosyasının kopyasının adı Utilman.exe olarak değiştirilebilir.

Bu yöntem ile bilgisayar açıldığında Windows+U tuş kombinasyonu ile veya sol alttaki ikon tıklanarak komut satırı açılabilmektedir. Oluşturulan kullanıcı ile oturum açılabilmektedir.

Not: Utilman.exe’nin adının değiştirilmesi yerine “sethc.exe” aracı ile de benzer işlem yapılarak 5 kere SHIFT butonuna basılabilirdi. Yine sistem haklarıyla komut satırı açılırdı. Benzer uygulamalar aşağıdaki gibi sıralanabilir.

• Sethc.exe –> Tetiklleyici: 5 kere Shift tuşu
• Utilman.exe –> Tetiklleyici: Windows tuşu + U
• Osk.exe –> Tetiklleyici: Ekrandaki On-screen tuşu
• Magnify.exe –> Tetiklleyici: Windows tuşu + =
• Narrator.exe –> Tetiklleyici: Windows tuşu + Enter