Windows'un farklı sürümlerinde, saldırganların kötü amaçlı ekleri ve dosyaları Microsoft'un Web İşareti (MOTW) güvenlik özelliğinden gizlice sızmasına olanak tanıyan iki ayrı güvenlik açığı bulunmaktadır.
İki hatayı keşfeden Carnegie Mellon Üniversitesi'ndeki CERT Koordinasyon Merkezi'nde (CERT/CC) eski bir yazılım güvenlik açığı analisti olan Will Dormann'a göre, saldırganlar her iki sorundan da aktif olarak yararlanıyor. Ancak kariyeri boyunca çok sayıda sıfır gün güvenlik açığını keşfetmesiyle tanınan araştırmacı, şu ana kadar Microsoft'un bunlar için herhangi bir düzeltme yayınlamadığını ve kuruluşların kendilerini korumaları için bilinen hiçbir geçici çözümün mevcut olmadığını söylüyor.
Güvenilmeyen Dosyalar için MotW Korumaları
MotW, kullanıcıları güvenilmeyen kaynaklardan gelen dosyalara karşı korumak için tasarlanmış bir Windows özelliğidir. İşaretin kendisi Windows'un eklediği gizli bir etiket İnternetten indirilen dosyalara. MotW etiketini taşıyan dosyaların ne yaptıkları ve nasıl çalıştıkları sınırlıdır. Örneğin, MS Office 10'dan başlayarak, MotW etiketli dosyalar varsayılan olarak Korumalı Görünüm'de açılıyor ve yürütülebilir dosyalar, çalışmalarına izin verilmeden önce ilk olarak Windows Defender tarafından güvenlik sorunları açısından inceleniyor.
Şu anda Analygence'da kıdemli bir güvenlik açığı analisti olan Dormann, "Microsoft Office Korumalı görünümü, SmartScreen, Akıllı Uygulama Kontrolü ve uyarı diyalogları gibi birçok Windows güvenlik özelliği, çalışması için MotW'nin varlığına bağlıdır", Dark Reading'i anlatıyor.
Hata 1: Resmi Olmayan Yama ile MotW .ZIP Atlaması
Dormann, iki MotW atlama sorunundan ilkini 7 Temmuz'da Microsoft'a bildirdi. Ona göre Windows, MotW'yi özel hazırlanmış .ZIP dosyalarından çıkarılan dosyalara uygulayamıyor.
Dorman, ".ZIP içindeki herhangi bir dosya, çıkarıldığında MOTW işaretlerini içermeyecek şekilde yapılandırılabilir" diyor. "Bu, saldırganın İnternet'ten gelmemiş gibi görünecek şekilde çalışacak bir dosyaya sahip olmasına olanak tanıyor." Dormann, bunun, kullanıcıları sistemlerinde rastgele kod çalıştırmaları için kandırmalarını kolaylaştırdığını belirtiyor.
Dormann, hatanın ayrıntılarını paylaşamayacağını çünkü bunun, saldırganların bu kusurdan nasıl yararlanabileceğini ortaya çıkaracağını söylüyor. Ancak bunun XP'den itibaren tüm Windows sürümlerini etkilediğini söylüyor. Microsoft'tan haber alamamasının bir nedeninin muhtemelen güvenlik açığının kendilerine Microsoft'un kullanmayı reddettiğini söylediği bir platform olan CERT'in Güvenlik Açığı Bilgileri ve Koordinasyon Ortamı (VINCE) aracılığıyla bildirilmiş olması olduğunu söylüyor.
"Temmuz sonundan bu yana CERT'te çalışmadım, bu nedenle Microsoft'un Temmuz ayından itibaren herhangi bir şekilde CERT ile bağlantı kurmaya çalışıp çalışmadığını söyleyemem" diye uyarıyor.
Dormann, diğer güvenlik araştırmacılarının saldırganların bu kusurdan aktif olarak yararlandığını gördüklerini söylüyor. Bunlardan biri, Microsoft'ta eski bir tehdit istihbaratı analisti olan güvenlik araştırmacısı Kevin Beaumont'tur. Bu ayın başlarında bir tweet dizisinde Beaumont, kusurun vahşi ortamda istismar edildiğini bildirdi.
“Bu, hiç şüphesiz üzerinde çalıştığım en aptal sıfır gün" dedi Beaumont.
Bir gün sonra ayrı bir tweet atan Beaumont, soruna yönelik tespit kılavuzunu yayınlamak istediğini ancak olası sonuçlardan endişe duyduğunu söyledi.
"Eğer Emotet/Qakbot/vb. bunu bulursa bunu %100 geniş ölçekte kullanacaklar" diye uyardı.
Microsoft, Dormann'ın bildirdiği güvenlik açıkları veya bunları gidermeye yönelik herhangi bir planı olup olmadığı konusunda yorum isteyen iki Karanlık Okuma talebine yanıt vermedi ancak Slovenya merkezli güvenlik firması Acros Security geçen hafta resmi olmayan bir yama yayınladı Bu ilk güvenlik açığı için 0patch yama platformu aracılığıyla.
0patch ve Acros Security'nin CEO'su ve kurucu ortağı Mitja Kolsek, Dark Reading'e yaptığı yorumda, Dormann'ın Temmuz ayında Microsoft'a bildirdiği güvenlik açığını doğrulayabildiğini söyledi.
“Evet, bir kez öğrendiğinde gülünç derecede açık oluyor. Bu nedenle herhangi bir ayrıntıyı açıklamak istemedik” diyor. .ZIP dosyalarının sıkıştırılmasını sağlayan kodun hatalı olduğunu ve bunu yalnızca bir kod yamasının düzeltebileceğini söylüyor. Kolsek, "Hiçbir geçici çözüm yok" diyor.
Kolsek, bu sorundan yararlanmanın zor olmadığını söylüyor ancak güvenlik açığının başarılı bir saldırı için tek başına yeterli olmadığını da ekliyor. Başarılı bir şekilde yararlanmak için, bir saldırganın yine de kullanıcıyı, kimlik avı e-postası aracılığıyla ek olarak gönderilen veya USB bellek gibi çıkarılabilir bir sürücüden kopyalanan, kötü amaçlı olarak hazırlanmış bir .ZIP arşivindeki bir dosyayı açmaya ikna etmesi gerekir.
"Normalde, MotW ile işaretlenmiş bir .ZIP arşivinden çıkarılan tüm dosyalar da bu işareti alır ve bu nedenle açıldığında veya başlatıldığında bir güvenlik uyarısını tetikler" diyor, ancak güvenlik açığı kesinlikle saldırganlara korumayı atlamanın bir yolunu sunuyor. "Hafifletici herhangi bir durumun farkında değiliz" diye ekliyor.
Hata 2: Bozuk Authenticode İmzalarıyla MotW'u Gizlice Geçmek
İkinci güvenlik açığı, bozuk Authenticode dijital imzalarına sahip MotW etiketli dosyaların işlenmesiyle ilgilidir. Authenticode bir Microsoft kod imzalama teknolojisidir Bu, belirli bir yazılım parçasının yayıncısının kimliğini doğrular ve yazılımın yayınlandıktan sonra tahrif edilip edilmediğini belirler.
Dormann, eğer bir dosya hatalı biçimlendirilmiş bir Authenticode imzasına sahipse Windows tarafından sanki MotW yokmuş gibi ele alınacağını keşfettiğini söylüyor; güvenlik açığı, Windows'un bir JavaScript dosyasını çalıştırmadan önce SmartScreen ve diğer uyarı iletişim kutularını atlamasına neden olur.
Dormann, "Windows, Authenticode verilerini işlerken bir hatayla karşılaştığında 'açılamadı' gibi görünüyor" diyor ve "MotW'yi hâlâ muhafaza etmelerine rağmen artık Authenticode imzalı dosyalara MotW korumaları uygulamayacak."
Dormann, sorunun, Windows Server 10'nın sunucu sürümü de dahil olmak üzere sürüm 2016'dan itibaren tüm Windows sürümlerini etkilediğini belirtiyor. Güvenlik açığı, saldırganlara Authenticode tarafından bozuk bir şekilde imzalanabilen herhangi bir dosyayı (.exe dosyaları gibi) imzalamanın bir yolunu sunuyor. ve JavaScript dosyalarını kullanarak MOTW korumalarını gizlice aşabilirsiniz.
Dormann, sorunu bu ayın başındaki bir HP Tehdit Araştırması blogunu okuduktan sonra öğrendiğini söylüyor. Magniber fidye yazılımı kampanyası kusur için bir istismar içeren.
Microsoft'un harekete geçip geçmediği belli değil ancak şimdilik araştırmacılar alarm vermeye devam ediyor. Dormann, "Microsoft'tan resmi bir yanıt almadım ancak aynı zamanda artık bir CERT çalışanı olmadığım için sorunu resmi olarak Microsoft'a bildirmedim" diyor. “Saldırganların vahşi doğada kullandığı güvenlik açığı nedeniyle bunu Twitter aracılığıyla kamuya duyurdum.”
