Windows 11’in 24H2 sürümünde, sistem yöneticilerinin gözünden uzun süre kaçan önemli bir güvenlik açığı tespit edildi. AppLocker ve Windows Defender Application Control (WDAC) politikalarının PowerShell üzerinde beklenen şekilde işlemediği, kısa sürede geniş yankı uyandırdı.
AppLocker ve WDAC’ın Rolü Nedir?
AppLocker, kullanıcıların hangi uygulama veya dosyaları çalıştırabileceğini belirleyen bir Windows güvenlik özelliğidir. Kurallar; dosyanın imzası, yolu veya hash değeri temelinde tanımlanır. WDAC ise çok daha kapsamlı bir denetim sunar; yalnızca kullanıcı seviyesinde değil, sistem çekirdeğinde çalıştırılacak kodları da kontrol altına alır.
Özellikle WDAC, imzasız PowerShell betiklerini engelleyebilir ve PowerShell’i kısıtlı dil modunda çalıştırarak, zararlı kodların sistemde çalışmasını önler.
Windows 11 24H2’deki Kritik Açık
Söz konusu açık nedeniyle, AppLocker veya WDAC politikaları aktif olsa bile PowerShell betikleri sınırlı kipte değil, tam erişimle çalıştı. Normalde PowerShell ile App Control politikaları arasında bir güvenlik kontrolü yapılması gerekirken, bu sürümde söz konusu denetim devre dışı kaldı. Sonuç olarak, kötü amaçlı script’lerin sistem üzerinde beklenenden daha fazla yetkiyle çalışması mümkün hale geldi. Bu, özellikle kurumsal ağlarda ciddi bir güvenlik riski yarattı.
Sorun Nasıl Ortaya Çıktı, Nasıl Çözüldü?
Nisan ayının başında Reddit ve SpiceWorks gibi topluluklarda sistem yöneticileri tarafından gündeme getirilen bu açık, kısa sürede yaygın olarak doğrulandı. Microsoft, PowerShell 7.6 sürümünde bu hatayı giderdiğini ve yeni sürümle birlikte App Control politikalarına tam uyumun yeniden sağlandığını duyurdu.
Sistem Yöneticilerine Uyarı
Özellikle WDAC ve AppLocker gibi uygulama denetim sistemlerini kullanan kurumlar, PowerShell sürüm güncellemesini ihmal etmemeli. Eski sürümlerdeki bu güvenlik zafiyeti, zararlı PowerShell betiklerinin engellenmesini imkansız hale getirebilir ve sistemlerin savunmasız kalmasına yol açabilir.