Yönetici Hakları ile Elde Edilen Oturumda Image File Execution Options Özelliğinin Kötüye Kullanılarak Windows İşletim Sistemi Üzerinde Arka Kapı Bırakılması

Windows işletim sisteminde yetkili hesap hakları ile ele geçirilen oturumda, Kayıt Defteri üzerinde gerçekleştirilebilecek bir değişiklik ile işletim sistemine uzak masaüstü ekranında bir arka kapı bırakılabilir. Böylece, kullanıcı hesap parolaları değişse bile, Windows oturum açma ekranına erişim sağlanabiliyor ise Windows komut satırı SYSTEM hakları ile elde edilebilir. Bu yazıda, gerekli önlemler alınmamış ve fiziksel olarak erişim sağlanmış olan bir Windows 7 bilgisayarda, Image File Execution Options özelliği kötüye kullanılarak, kimlik bilgileri olmadan oturum açılabileceği görülecektir.

Normalde standart bir Windows 7 bilgisayarın oturum açma ekranı aşağıdaki gibidir:

Windows oturum açma ekranında iken, Windows+U tuş takımına basıldığında veya sol alttaki ikona basıldığında, Utilman.exe adlı bir uygulama çalışır. Böylece, Ease of Access ekranı ile karşılaşılır.

Benzer olarak, Windows oturum açma ekranında iken, SHIFT/CTRL/ALT/Windows Logo tuşlarına 5 kere basıldığında, sethc.exe adlı bir uygulama çalışır. Böylece, Sticky Keys ekranı ile karşılaşılır.

Eğer yerel yönetici hakları ile işletim sistemine erişim sağlanmış ise, Kayıt Defteri üzerinde değişiklik gerçekleştirilebilir. Standart durumda, “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options” anahtarı altında herhangi bir anahtar veya değer bulunmamaktadır.

Image File Execution Options ile bir uygulama, başka bir uygulama altında debugger olarak çalışması sağlanır. Eğer Kayıt Defteri üzerinde belirtilen dizinde, Utilman.exe veya sethc.exe adlı yeni bir anahtar oluşturulup, içerisine de Debugger adında bir değer eklenerek değerin verisi cmd.exe gibi bir uygulama adı olarak ayarlanırsa, Utilman.exe veya sethc.exe uygulaması debugger olarak cmd.exe kullanır. Böylece komut satırı elde edilmiş olur.

Bu durumda Windows+U tuş kombinasyonuna basıldığında komut satırı kullanıcı hakkı ile açılmaktadır.

Not: Eğer sethc.exe anahtarı eklenerek değişiklik yapılsaydı, 5 kere SHIFT tuşuna basıldığında komut satırı elde edilirdi. Benzer uygulamalar aşağıdaki gibi sıralanabilir.

• Sethc.exe –> Tetiklleyici: 5 kere Shift tuşu
• Utilman.exe –> Tetiklleyici: Windows tuşu + U
• Osk.exe –> Tetiklleyici: Ekrandaki On-screen tuşu
• Magnify.exe –> Tetiklleyici: Windows tuşu + =
• Narrator.exe –> Tetiklleyici: Windows tuşu + Enter

 

Kayıt Defteri üzerinde değişiklik yapıldıktan sonra, uzak masaüstü bağlantısı yapıldıktan sonra veya fiziksel erişim elde edildikten sonra, Windows oturum açma ekranına gelindiğinde ve Windows+U tuş kombinasyonuna basıldığında veya sol alttaki Ease of Access ikonuna tıklandığında, Winlogon.exe prosesinin çalıştığı haklar ile (SYSTEM hakları ile) komut satırı elde edilmiş olur.

Not: Kayıt Defteri üzerinde, cmd.exe yerine başka bir uygulama çalıştırılması durumunda, belirtilen uygulama debugger olarak çalışacaktır.

 

İpucu
Kayıt Defteri üzerinde gerçekleştirilen veri ekleme işlemi komut satırıyla reg.exe aracı ile de gerçekleştirilebilir. Bu sebeple, hedef bilgisayarın komut satırına erişim sağlanmışsa, aşağıdaki komutla sistem üzerinde arka kapı bırakılabilir.

REG ADD “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe” /v Debugger /t REG_SZ /d “C:\Windows\System32\cmd.exe” /f