Siber güvenlik araştırmacıları, Microsoft’un Windows Akıllı Uygulama Denetimi ve Akıllı Ekran’ında, tehdit aktörlerinin herhangi bir uyarı vermeden hedef ortamlara ilk erişimi sağlamasını sağlayabilecek tasarım zayıflıkları ortaya çıkardı.
Akıllı Uygulama Kontrolü (SAC) Microsoft tarafından Windows 11’de tanıtılan, kötü amaçlı, güvenilmeyen ve potansiyel olarak istenmeyen uygulamaların sistemde çalıştırılmasını engelleyen bulut destekli bir güvenlik özelliğidir. Hizmetin uygulama hakkında bir tahminde bulunamadığı durumlarda, yürütülebilmesi için imzalanmış olup olmadığını veya geçerli bir imzaya sahip olup olmadığını kontrol eder.
Windows 10 ile birlikte piyasaya sürülen SmartScreen, bir sitenin veya indirilen bir uygulamanın potansiyel olarak kötü amaçlı olup olmadığını belirleyen benzer bir güvenlik özelliğidir. Ayrıca URL ve uygulama koruması için itibar tabanlı bir yaklaşımdan yararlanır.
“Microsoft Defender SmartScreen, bir web sitesinin URL’lerini değerlendirerek güvenli olmayan içerik dağıtıp dağıtmadıklarını veya barındırıp barındırmadıklarını belirler,” Redmond notlar belgelerinde.
“Ayrıca uygulamalar için itibar kontrolleri sağlar, indirilen programları ve bir dosyayı imzalamak için kullanılan dijital imzayı kontrol eder. Bir URL, bir dosya, bir uygulama veya bir sertifikanın yerleşik bir itibarı varsa, kullanıcılar herhangi bir uyarı görmez. İtibar yoksa, öğe daha yüksek riskli olarak işaretlenir ve kullanıcıya bir uyarı sunar.”
Ayrıca SAC etkinleştirildiğinde Defender SmartScreen’in yerini aldığını ve devre dışı bıraktığını da belirtmekte fayda var.
“Akıllı Uygulama Denetimi ve SmartScreen, hiçbir güvenlik uyarısı olmadan ve minimum kullanıcı etkileşimi ile ilk erişime izin verebilecek bir dizi temel tasarım zayıflığına sahiptir,” Elastic Security Labs söz konusu The Hacker News ile paylaşılan bir raporda.
Bu korumaları aşmanın en kolay yollarından biri, uygulamayı meşru bir Genişletilmiş Doğrulama (EV) sertifikasıyla imzalatmaktır; bu teknik, kötü niyetli kişiler tarafından kötü amaçlı yazılımları dağıtmak için zaten kullanılıyor; yakın zamanda HotPage olayında da görüldüğü gibi.
Tespitten kaçınma için kullanılabilecek diğer yöntemlerden bazıları aşağıda listelenmiştir –
- İtibar Kaçırma, sistemi atlatmak için iyi bir itibara sahip uygulamaları belirleyip yeniden kullanmayı içerir (örneğin, JamPlus veya bilinen bir AutoHotkey yorumlayıcısı)
- İtibar Tohumlaması, bir uygulamada bulunan bir güvenlik açığından dolayı veya belirli bir zaman geçtikten sonra kötü amaçlı davranışı tetiklemek için görünüşte zararsız bir saldırgan tarafından kontrol edilen ikili dosyanın kullanılmasını içerir.
- Meşru bir ikili dosyanın (örneğin hesap makinesi) belirli bölümlerini değiştirerek genel itibarını kaybetmeden kabuk kodu enjekte etmeyi içeren İtibar Kurcalaması
- Windows kısayolu (LNK) dosyalarının işlenme biçimindeki bir hatayı istismar ederek web işareti (MotW) etiketini kaldırmayı ve SAC’nin bu etikete sahip dosyaları engellemesi nedeniyle SAC korumalarını aşmayı içeren LNK Stomping.
Araştırmacılar, “Bu, standart dışı hedef yolları veya dahili yapıları olan LNK dosyalarının oluşturulmasını içerir,” dedi. “Tıklandığında, bu LNK dosyaları explorer.exe tarafından kanonik biçimlendirmeyle değiştirilir. Bu değişiklik, güvenlik kontrolleri gerçekleştirilmeden önce MotW etiketinin kaldırılmasına yol açar.”
Şirket, “Ün tabanlı koruma sistemleri, ticari kötü amaçlı yazılımları engellemek için güçlü bir katmandır” dedi. “Ancak, herhangi bir koruma tekniği gibi, biraz dikkatle aşılabilecek zayıflıkları vardır. Güvenlik ekipleri, tespit yığınlarındaki indirmeleri dikkatlice incelemeli ve bu alanda koruma için yalnızca işletim sistemine özgü güvenlik özelliklerine güvenmemelidir.”
