Windows’un farklı sürümlerinde, saldırganların Microsoft’un Web İşareti (MOTW) güvenlik özelliğini geçerek kötü amaçlı ekleri ve dosyaları gizlice sızdırmasına izin veren iki ayrı güvenlik açığı bulunmaktadır.
Carnegie Mellon Üniversitesi’nde CERT Koordinasyon Merkezi’nde (CERT/CC) çalışan ve iki hatayı keşfeden eski bir yazılım güvenlik açığı analisti olan Will Dormann’a göre, saldırganlar her iki sorunu da aktif olarak kullanıyor. Ancak şimdiye kadar Microsoft, onlar için herhangi bir düzeltme yayınlamadı ve kuruluşların kendilerini korumaları için bilinen hiçbir geçici çözüm mevcut değil, diyor kariyeri boyunca sayısız sıfırıncı gün güvenlik açığı keşfetmekle tanınan araştırmacı.
Güvenilmeyen Dosyalar için MotW Korumaları
MotW, kullanıcıları güvenilmeyen kaynaklardan gelen dosyalara karşı korumak için tasarlanmış bir Windows özelliğidir. işaretin kendisi Windows’un eklediği gizli bir etiket İnternetten indirilen dosyalara. MotW etiketini taşıyan dosyalar, yaptıkları ve nasıl çalıştıkları bakımından kısıtlanmıştır. Örneğin, MS Office 10’dan başlayarak, MotW etiketli dosyalar varsayılan olarak Korumalı Görünüm’de açılır ve yürütülebilir dosyalar, çalıştırılmalarına izin verilmeden önce Windows Defender tarafından güvenlik sorunları açısından incelenir.
“Birçok Windows güvenlik özelliği — [such as] Microsoft Office Korumalı görünüm, SmartScreen, Akıllı Uygulama Kontrolü, [and] Şu anda Analygence’ta kıdemli bir güvenlik açığı analisti olan Dormann, Dark Reading’e verdiği demeçte, uyarı diyalogları – çalışması için MotW’nin varlığına güvenin” diyor.
Hata 1: Resmi Olmayan Yama ile MotW .ZIP Bypass
Dormann, iki MotW atlama sorunundan ilkini 7 Temmuz’da Microsoft’a bildirdi. Ona göre, Windows MotW’yi özel olarak hazırlanmış .ZIP dosyalarından çıkarılan dosyalara uygulayamıyor.
Dorman, “.ZIP içinde bulunan herhangi bir dosya, ayıklandığında MOTW işaretleri içermeyecek şekilde yapılandırılabilir” diyor. “Bu, bir saldırganın, İnternet’ten gelmemiş gibi görünecek şekilde çalışacak bir dosyaya sahip olmasını sağlar.” Dormann, bu, kullanıcıları sistemlerinde rastgele kod çalıştırmaları için kandırmalarını kolaylaştırıyor.
Dormann, hatanın ayrıntılarını paylaşamayacağını çünkü bu, saldırganların kusurdan nasıl yararlanabileceğini ortaya çıkaracağını söyledi. Ancak XP’den itibaren tüm Windows sürümlerini etkilediğini söylüyor. Microsoft’tan haber alamamasının bir nedeninin, güvenlik açığının kendilerine Microsoft’un kullanmayı reddettiğini söylediği bir platform olan CERT’nin Güvenlik Açığı Bilgi ve Koordinasyon Ortamı (VINCE) aracılığıyla bildirilmiş olması olduğunu söylüyor.
“Temmuz sonundan beri CERT’de çalışmıyorum, bu yüzden Microsoft’un Temmuz’dan itibaren CERT ile herhangi bir şekilde iletişime geçmeye çalışıp çalışmadığını söyleyemem” diye uyarıyor.
Dormann, diğer güvenlik araştırmacılarının, saldırganların kusurdan aktif olarak yararlandığını gördüklerini bildirdi. Bunlardan biri, Microsoft’ta eski bir tehdit istihbarat analisti olan güvenlik araştırmacısı Kevin Beaumont. Bu ayın başlarında bir tweet dizisinde Beaumont, kusurun vahşi doğada istismar edildiğini bildirdi.
“Şüphesiz bu üzerinde çalıştığım en aptal sıfır gün“dedi Beaumont.
Bir gün sonra ayrı bir tweet’te Beaumont, sorunla ilgili tespit kılavuzunu yayınlamak istediğini, ancak potansiyel serpinti konusunda endişeli olduğunu söyledi.
“Eğer Emotet/Qakbot/vb onu bulursa, onu %100 ölçekte kullanacaklar” diye uyardı.
Microsoft, Dormann’ın bildirilen güvenlik açıkları veya bunları ele alma planları olup olmadığı hakkında yorum isteyen iki Karanlık Okuma isteğine yanıt vermedi, ancak Slovenya merkezli güvenlik şirketi Acros Security geçen hafta resmi olmayan bir yama yayınladı 0patch yama platformu aracılığıyla bu ilk güvenlik açığı için.
0patch ve Acros Security’nin CEO’su ve kurucu ortağı Mitja Kolsek, Dark Reading’e yaptığı yorumlarda, Dormann’ın Temmuz ayında Microsoft’a bildirdiği güvenlik açığını doğrulayabildiğini söylüyor.
“Evet, bir kez öğrenince gülünç derecede açık. Bu yüzden hiçbir ayrıntıyı açıklamak istemedik” diyor. .ZIP dosyalarının sıkıştırmasını açan kodun hatalı olduğunu ve bunu yalnızca bir kod düzeltme ekinin düzeltebileceğini söylüyor. Kolsek, “Geçici çözüm yok” diyor.
Kolsek, sorunun istismar edilmesinin zor olmadığını söylüyor ancak güvenlik açığının tek başına başarılı bir saldırı için yeterli olmadığını da ekliyor. Başarılı bir şekilde yararlanmak için, bir saldırganın yine de bir kullanıcıyı, bir kimlik avı e-postası yoluyla ek olarak gönderilen veya örneğin bir USB bellek gibi çıkarılabilir bir sürücüden kopyalanan kötü amaçlarla oluşturulmuş bir .ZIP arşivindeki bir dosyayı açmaya ikna etmesi gerekir.
“Normalde, MotW ile işaretlenmiş bir .ZIP arşivinden çıkarılan tüm dosyalar da bu işareti alır ve bu nedenle açıldığında veya başlatıldığında bir güvenlik uyarısını tetikler,” diyor, ancak güvenlik açığı kesinlikle saldırganların korumayı atlamanın bir yolunu sağlıyor. “Herhangi bir hafifletici durumun farkında değiliz” diye ekliyor.
Hata 2: Bozuk Authenticode İmzaları ile MotW’yi Gizlice Geçmek
İkinci güvenlik açığı, Authenticode dijital imzalarını bozan MotW etiketli dosyaların işlenmesini içerir. Authenticode, bir Microsoft kod imzalama teknolojisidir belirli bir yazılım parçasının yayıncısının kimliğini doğrulayan ve yazılımın yayınlandıktan sonra kurcalanıp değiştirilmediğini belirleyen.
Dormann, bir dosyanın hatalı biçimlendirilmiş bir Authenticode imzası varsa, Windows tarafından MotW’si yokmuş gibi ele alınacağını keşfettiğini söylüyor; güvenlik açığı, Windows’un bir JavaScript dosyasını çalıştırmadan önce SmartScreen’i ve diğer uyarı iletişim kutularını atlamasına neden olur.
“Windows bir hatayla karşılaştığında ‘açılamıyor’ görünüyor [when] Authenticode verilerini işliyor” diyor Dormann ve “artık Authenticode imzalı dosyalara MotW korumaları uygulamayacak, ancak aslında MotW’yi koruyorlar.”
Dormann, sorunu Windows Server 2016’nın sunucu varyantı da dahil olmak üzere sürüm 10’dan itibaren tüm Windows sürümlerini etkilediğini belirtiyor. Bu güvenlik açığı, saldırganlara Authenticode tarafından .exe dosyaları gibi bozuk bir şekilde imzalanabilen herhangi bir dosyayı imzalamanın bir yolunu sunuyor. ve JavaScript dosyaları – ve gizlice MOTW korumalarından geçirin.
Dormann, bu ayın başlarında bir HP Tehdit Araştırması blogunu okuduktan sonra sorunu öğrendiğini söyledi. Magniber fidye yazılımı kampanyası kusur için bir istismar içeriyor.
Microsoft’un harekete geçip geçmediği belli değil, ancak şimdilik araştırmacılar alarmı yükseltmeye devam ediyor. Dormann, “Microsoft’tan resmi bir yanıt almadım, ancak aynı zamanda, artık bir CERT çalışanı olmadığım için sorunu resmi olarak Microsoft’a bildirmedim” diyor. “Saldırganlar tarafından vahşi doğada kullanılan güvenlik açığı nedeniyle Twitter aracılığıyla herkese açık olarak duyurdum.”