SİSTEM DOKTORU

Tekrar merhabalar. Bugün sizlerle yeni keşfetmiş olduğum başka bir gpo açığını paylaşacağım.

Bildiğiniz gibi Gpo ilkeleri ile kullanıcılarımızın masaüstü arkaplanlarını değiştirmelerini engelleyebiliriz. Ancak ne yazık ki bu kısıtlamada kısmi olarak aşılabiliyor.

Açığı gerçekleştirecek kod şu anki hali ile her oturumda bir kereye mahsus çalıştırılması gibi bir zorunluluğa sahip . Her oturumda açılması gerekliliği ise , her user logon esnasında gpupdate uygulanması ve script sayesinde HKCU root'u altına girdiğimiz değerin değişikliye uğrayıp "UpdatePerUserSystemParameters" fonksiyonun uygulanmasından kaynaklanıyor.

Aşağıdaki scripti notepad ile kaydetip uzantısını vbs yaparak her oturum açışınızda da bir kere çalıştırarak dilediğiniz masaüstü arka planını kullanabilirsiniz.

Set oShell = CreateObject("WScript.Shell")
MasaUstu = "c:\a.bmp" 'Buraya wallpaper dosyanız nerede ise onun yolunu vermelisiniz.
oShell.RegWrite "HKCU\Control Panel\Desktop\Wallpaper", MasaUstu
oShell.Run _
  "%windir%\System32\RUNDLL32.EXE user32.dll,UpdatePerUserSystemParameters", _
   1, True

Problem user32.dll içerisinde yer alan UpdatePerUserSystemParameters fonksiyonun kısıtlı kullanıcıların kullanımına açık olmasından kaynaklanıyor. Yani tipik bir microsoft klasiği.

Saygılarımla.

Gerçekten çok ses getiren bi açık olabilir.Deneyip görmek ve çalışıyorsa nasıl engellenebilir diye kafa yormak için çalıştırdım scripti.Masaüstü ayarları ile ilgili policy'yi yiyen bilgisayarlarda işe yaramadı,policy'nin uygulanmadığı bilgisayarlarda ise arkaplanı pratik olarak değiştirmek için kullanılabilinir sanırım.
 

Anıl ERDURAN:

Gerçekten çok ses getiren bi açık olabilir.Deneyip görmek ve çalışıyorsa nasıl engellenebilir diye kafa yormak için çalıştırdım scripti.Masaüstü ayarları ile ilgili policy'yi yiyen bilgisayarlarda işe yaramadı,policy'nin uygulanmadığı bilgisayarlarda ise arkaplanı pratik olarak değiştirmek için kullanılabilinir sanırım.
 

Hımm entersan, halbuki bu ve bunun gibi keşfettiğim her açığı çok sağlam policylerle korunmuş bir sistemin mümkün olan en kısıtlı kullanıcılarında keşfedip gönderiyorum . Ki aynen eve gelip test serverimda ve clientlar da da deniyorum , sizde nasıl olmadı merak ettim.  

Group policy uygulayan değil uygulanan taraftan olduğum için bunun aslında zaten gpo scripti olarak basıldığını bilmiyordum ama bunu öğrenmem beni 2 kat daha haklı çıkarttı ki bu da microsoftun bu tip scriptler ve buna bağlı api'leri (SystemParametersInfo gibi) filtrelemeden nasıl umarsızca işlediğini bir kez daha gözler önüne seriyor. User32.dll kütüphanesi içerisinde yer alan ve konumuzun asıl bağlamını teşkil eden UpdatePerUserSystemParameters "1" indexini kullanarak SystemParametersInfo call'ini SPI_SETDESKWALLPAPER şeklinde çağrıyor, yani eğer siz bu index'lerin nerelere denk geldiğini bilirseniz SystemParametersInfo api'sinin sağladığı onlarca kullanılması güvenlik açısından risk oluşturan komutu yürütebilirsiniz demektir.

Uzun lafın kısası ben bu açıkları bulurken aslında sadece buzdağının görünen yüzünü gösteriyorum ve geri kalan kısımların risklerini sizlerin düşünmesini istiyorum. Tıpkı Command Prompt açığında hashing,isme göre veya anlaşmalı iki anhatarın doğruluğuna göre sadece cmd.exe'de örnekleyip gösterdiğim gibi . Oysa bu yöntemi kullanarak daha onlarca kısıtlı executable'i çalıştırabilirsiniz. Şunu kısaca belirteyim policyler daha alt seviyede filtrelenip isteği gönderenin tipine göre değerlendirilmedikçe bu fiyasko böyle devam eder gider.

Saygılarımla.

bu durumda masaüstü ile ilgili ayarlamalar beyhudemi acaba

birde serhat hocamın dediği

Şayet kullanıcıya "Active desktop wallpaper" ayarı ile bir duvar kağıdı atamışsanız bunu değiştiremiyor

bu işlemi server tarafında yapıyoruz herhalde. nasıl yapıldığını anlatırsa sevinirim