Microsoft, Windows Smart App Control (SAC) ve SmartScreen güvenlik özelliklerini etkileyen kritik bir sıfırıncı gün açığını giderdi.
Bu güvenlik açığı, Microsoft’un Eylül 2024 Salı Yaması’yla giderildi. Yamayı yayınlayan bu yama, dört sıfır günlük açığı ve çeşitli ürünlerdeki 79 güvenlik açığını da içeren önemli sayıda güvenlik açığını ele alıyordu.
CVE-2024-38217 olarak tanımlanan bu güvenlik açığı, 2018’den bu yana tehdit aktörleri tarafından aktif olarak kullanılıyor ve bu durum, güçlü siber güvenlik savunmalarını sürdürmenin sürekli zorluklarını ortaya koyuyor.
“Güvenlik Özelliği Baypası” olarak sınıflandırılan bu güvenlik açığı, saldırganların Mark of the Web (MOTW) korumalarından kaçınmasına olanak tanır. MOTW, internetten indirilen dosyaları işaretlemek ve ek güvenlik kontrolleri başlatmak için tasarlanmış bir güvenlik mekanizmasıdır. Saldırganlar, bu kontrolleri atlatarak, bir kurbanın sisteminde minimum müdahaleyle kötü amaçlı kod çalıştırabilir.
Sömürü Detayları
Elastic Security Labs’daki siber güvenlik araştırmacıları, saldırganların SAC ve SmartScreen savunmalarını aşmak için karmaşık teknikler kullandığını keşfetti. Bu yöntemler şunları içerir:
- Tohumlama: Saldırganlar kötü amaçlı yazılımları daha sonra kötü amaçlı kodu etkinleştiren iyi huylu ikili dosyalar olarak gizler. Bu teknik, SAC’nin temel anti-emülasyon taktiklerine karşı olan zaafiyetinden yararlanır.
- İtibarın Korunması: Dosya itibarlarını manipüle ederek saldırganlar, tehlikeye atılmış dosyalar için güvenilir bir statü koruyabilir. Bu, SAC’nin belirsiz karma veya makine öğrenimi tabanlı benzerlik karşılaştırmalarına güvenmesi nedeniyle mümkündür.
- MOTW Baypasları: Özel olarak hazırlanmış LNK dosyaları, güvenlik kontrollerinden önce MOTW etiketlerini kaldırabilir ve kötü amaçlı kod yürütülmesine izin verebilir. Bu teknik, tespitten kaçınmak için dosya yollarını değiştirmeyi içerir.
“Bir saldırgan, Mark of the Web (MOTW) savunmalarını aşacak kötü amaçlı bir dosya oluşturabilir ve bu da SmartScreen Uygulama İtibarı güvenlik kontrolü ve/veya eski Windows Ek Hizmetleri güvenlik istemi gibi güvenlik özelliklerinin bütünlüğünün ve kullanılabilirliğinin sınırlı bir şekilde kaybolmasına neden olabilir.”
Bu açıkların altı yıl öncesine dayanan bazı yöntemlerle yaygın olarak kullanılması, güvenlik önlemlerinde sürekli iyileştirme yapılması gerekliliğini bir kez daha ortaya koyuyor.
Microsoft’un Tepkisi
Microsoft, bu güvenlik açığının istismar edilebilirliğini ele alan CVE-2024-38217 için resmi bir düzeltme yayınladı. Düzeltme, Windows 11, sürüm 24H2 kullanıcıları, özellikle de bu sürümle önceden yüklenmiş yeni Copilot+ cihazları kullananlar için hayati önem taşıyor.
Windows 11’in 24H2 sürümü henüz genel kullanıma sunulmamış olsa da Microsoft, etkilenen kullanıcıların güncellemelere erişebilmesini sağladı.
Bu sıfırıncı gün açığının istismarı, güvenlik geliştiricileri ile siber suçlular arasındaki devam eden mücadeleyi vurgular. SAC ve SmartScreen gibi itibar tabanlı güvenlik sistemleri kusursuz değildir ve saldırganlar bu savunmaları aşmak için yöntemler geliştirmeye devam etmektedir.
Bu tür tehditleri azaltmak için siber güvenlik uzmanları şunları öneriyor:
- Davranışsal İmzaların Geliştirilmesi: Yaygın olarak kötüye kullanılan yazılım kategorileri için davranışsal imzalar oluşturmaya odaklanın.
- İndirilen Dosyaların İzlenmesi: Kötü amaçlı bir aktiviteye işaret edebilecek standart dışı konumlara indirilen dosyalara dikkat edin.
- LNK Dosya Değişiklikleri: Explorer.exe tarafından LNK dosyalarında yapılan değişiklikleri izleyin, çünkü bunlar MOTW atlama girişimlerini gösterebilir.
Sonuç olarak, itibar temelli savunmalar olmazsa olmazdır ancak gelişmiş tehditlerle etkili bir şekilde mücadele etmek için bunların sağlam davranış izleme ile tamamlanması gerekir.
Microsoft güvenlik özelliklerini geliştirmeye devam ederken, kullanıcıların güncellemeler konusunda bilgi sahibi olmaları ve sistemlerini ortaya çıkan güvenlik açıklarından korumak için yamaları derhal uygulamaları önemle rica ediliyor.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin