Rufus'ta Bir DLL Kaçırma Güvenlik Açığı

 

Rufus'ta Bir DLL Kaçırma Güvenlik Açığı

Genel bakış

Rufus, önyüklenebilir USB flash sürücülerini biçimlendirmek ve oluşturmak için yaygın olarak kullanılan bir yardımcı programdır.  CVE-2025-26624 olarak tanımlanan kritik bir güvenlik açığı , Rufus'un 4.6.2208 ve önceki sürümlerinde keşfedildi. Bu güvenlik açığı, bir saldırganın  DLL ele geçirme  saldırısı gerçekleştirmesine olanak tanır ve bu da kötü amaçlı bir DLL'yi yükseltilmiş ayrıcalıklarla yüklemesini ve yürütmesini sağlar. Sorun, Rufus'un başlatıldığı sırada daha yüksek ayrıcalıklarla çalışması ve kitaplığı  cfgmgr32.dll yürütülebilir dosyayla aynı dizinden yüklemeye çalışması nedeniyle ortaya çıkar. Bir saldırgan bu dizine kötü amaçlı bir dosya yerleştirebilirse  cfgmgr32.dll , otomatik olarak yüklenir ve bu da olası ayrıcalık yükseltmesine ve keyfi kod yürütülmesine yol açar.

Güvenlik açığı, Rufus sürüm 4.7'ye dahil edilecek olan commit'te ele alındı  74dfa49. Kullanıcılara, kullanılabilir hale gelir gelmez sürüm 4.7'ye yükseltmeleri şiddetle tavsiye edilir. Bu güvenlik açığı için bilinen bir geçici çözüm yoktur.

---

Teknik Detaylar

Güvenlik Açığı Türü : DLL Kaçırma
Etkilenen Sürümler : Rufus 4.6.2208 ve öncesi
Düzeltilen Sürüm : Rufus 4.7 (commit  74dfa49)
CVE Kimliği : CVE-2025-26624
Yayın Tarihi : 18 Şubat 2025

Güvenlik açığı, Rufus'un kütüphanenin dinamik bağlantısını işleme biçiminden kaynaklanmaktadır  cfgmgr32.dll . Rufus başlatıldığında,  cfgmgr32.dll aşağıdaki sırayla arama yapar:

1. Uygulamanın yüklendiği dizin.

2. Sistem dizinleri.

3. Windows dizini.

Bir saldırgan kötü amaçlı bir dosyayı Rufus yürütülebilir dosyasıyla aynı dizine yerleştirebilirse  cfgmgr32.dll , meşru olan yerine kötü amaçlı DLL yüklenir. Rufus yükseltilmiş ayrıcalıklarla çalıştığı için, kötü amaçlı kod da bu ayrıcalıklarla yürütülür ve bu da saldırganın sistemin tam kontrolünü ele geçirmesine olanak tanır.

---

Örnek Saldırı Senaryosu

1. İlk Erişim :
   Bir saldırgan, kimlik avı, sosyal mühendislik veya başka bir güvenlik açığından yararlanarak hedef sisteme erişim sağlar. Saldırganın sistemde sınırlı ayrıcalıkları vardır.

2. Kötü Amaçlı DLL'yi Yerleştirme :
   Saldırgan, Rufus'un sisteme yüklendiğini ve 4.6.2208 veya daha önceki bir sürümü çalıştırdığını belirler. Saldırgan daha sonra kötü amaçlı bir dosyayı  cfgmgr32.dll Rufus yürütülebilir dosyasıyla aynı dizine yerleştirir. Bu, kullanıcıyı kötü amaçlı DLL'yi indirmesi için kandırarak veya ayrı bir dosya yükleme güvenlik açığından yararlanarak yapılabilir.

3. Güvenlik Açığının Tetiklenmesi :
   Saldırgan, kullanıcının Rufus'u başlatmasını bekler. Rufus başlatıldığında,  cfgmgr32.dll geçerli dizinden yüklemeyi dener. Meşru DLL'yi yüklemek yerine, saldırgan tarafından sağlanan kötü amaçlı DLL'yi yükler.

4. Ayrıcalık Yükseltme ve Kod Yürütme :
   Kötü amaçlı DLL, Rufus ile aynı yükseltilmiş ayrıcalıklarla yürütülür. Saldırganın kodu artık kötü amaçlı yazılım yükleme, arka kapılar oluşturma veya hassas verileri sızdırma gibi eylemler gerçekleştirebilir.

5. Kalıcılık :
   Saldırgan, sistemde kalıcılık sağlamak için yükseltilmiş ayrıcalıkları kullanabilir ve böylece ilk ihlalden sonra bile erişimi sürdürebilir.

---

Darbe

• Ayrıcalık Yükseltmesi : Bir saldırgan, yükseltilmiş ayrıcalıklarla kod yürütebilir ve potansiyel olarak sistem üzerinde tam kontrol elde edebilir.

• Keyfi Kod Çalıştırma : Saldırgan istediği kodu çalıştırabilir ve bu da daha fazla istismara yol açabilir.

• Veri Sızdırma : Sistemdeki hassas verilere ulaşılabilir ve bu veriler sızdırılabilir.

• Sistem Tehlikeye Atma : Saldırgan kötü amaçlı yazılım yükleyebilir, arka kapılar oluşturabilir veya sistem operasyonlarını bozabilir.

---

Azaltma

1. Rufus 4.7'ye yükseltin :
   Bu güvenlik açığı, Rufus 4.7 sürümüne dahil edilecek olan commit'te düzeltildi  74dfa49. Kullanıcılar, bu sürüm kullanılabilir hale gelir gelmez bu sürüme yükseltme yapmalıdır.

2. Dosya İzinlerini Sınırlayın :
   Rufus ve diğer hassas yürütülebilir dosyaları içeren dizinlere yalnızca güvenilir kullanıcıların yazma iznine sahip olduğundan emin olun.

3. Şüpheli Etkinlikleri İzleyin :
   Şüpheli DLL yükleme davranışını veya sistem dosyalarında yetkisiz değişiklikleri izlemek için uç nokta algılama ve yanıt (EDR) araçlarını kullanın.

4. Kullanıcı Farkındalığı :
   Kullanıcıları, güvenilmeyen kaynaklardan dosya indirmenin ve çalıştırmanın riskleri konusunda eğitin.

---

Çözüm

CVE-2025-26624, yükseltilmiş ayrıcalıklarla çalışan uygulamalarda DLL ele geçirmeyle ilişkili riskleri vurgulayan ciddi bir güvenlik açığıdır. Rufus kullanıcıları, sürüm 4.7 yayınlandığında bu güvenlik açığını azaltmak için derhal harekete geçmeli ve sürüm 4.7'ye yükseltmelidir. Bu arada, kuruluşlar sıkı dosya izin denetimleri uygulamalı ve istismar belirtilerini izlemelidir.