Microsoft Windows’ta, hatalı biçimlendirilmiş imzalarla imzalanmış dosyaların Web İşareti’ni (Mark-of-the-Web) gizlice geçmesini mümkün kılan, etkin olarak yararlanılan bir güvenlik açığı için resmi olmayan bir yama kullanıma sunuldu (MotW) korumalar.
Çözüm, piyasaya sürülmüş 0patch tarafından, HP Wolf Security’nin, dosya şifreleyen kötü amaçlı yazılımı çoğaltmak için bir JavaScript dosyası kullanan sahte güvenlik güncellemeleriyle kullanıcıları hedefleyen bir Magniber fidye yazılımı kampanyasını ifşa etmesinden haftalar sonra geldi.
Windows’ta internetten indirilen dosyalar, yetkisiz eylemleri önlemek için bir MotW bayrağıyla etiketlenirken, o zamandan beri, bozuk Authenticode imzalarının, herhangi bir işlem yapmadan rastgele yürütülebilir dosyaların yürütülmesine izin vermek için kullanılabileceği bulundu. SmartScreen uyarısı.
Authenticode belirli bir yazılım parçasının yayıncısının kimliğini doğrulayan ve imzalandıktan ve yayınlandıktan sonra yazılımın değiştirilip değiştirilmediğini doğrulayan bir Microsoft kod imzalama teknolojisidir.
” [JavaScript] dosya aslında MotW’ye sahip, ancak açıldığında hala bir uyarı olmadan yürütülüyor,” diye belirtti HP Wolf Güvenlik araştırmacısı Patrick Schläpfer.
 |
| Kaynak: Will Dormann Twitter |
Güvenlik araştırmacısı Will Dormann, “Dosyada bu hatalı biçimlendirilmiş Authenticode imzası varsa, SmartScreen ve/veya dosya açma uyarısı iletişim kutusu atlanır” açıkladı.
Şimdi 0patch kurucu ortağı Mitja Kolsek’e göre, sıfır gün hatası, SmartScreen’in hatalı biçimlendirilmiş imzayı ayrıştırırken bir istisna döndürmesinin bir sonucudur ve bu, yanlış bir şekilde bir uyarıyı tetiklemek yerine programı çalıştırma kararı olarak yorumlanır.
Kusur için düzeltmeler de iki haftadan kısa bir süre sonra gelir resmi olmayan yamalar güvenlik araştırmacısına göre, Temmuz ayında ortaya çıkan ve o zamandan beri aktif saldırıya uğrayan başka bir sıfır günlük MotW baypas kusuru için sevk edildi Kevin Beaumont.
Dormann tarafından keşfedilen güvenlik açığı, Windows’un MotW tanımlayıcısını özel olarak hazırlanmış .ZIP dosyalarından ayıklanan dosyalara nasıl ayarlayamadığını gösteriyor.
Kolsek, “Saldırganlar, bu nedenle, kötü niyetli dosyalarının MOTW ile işaretlenmemesini anlaşılır bir şekilde tercih ediyor; bu güvenlik açığı, ayıklanan kötü amaçlı dosyaların işaretlenmeyeceği bir ZIP arşivi oluşturmalarına izin veriyor.” Dedi.
