Siber güvenlik araştırmacıları, Microsoft’un Windows Akıllı Uygulama Denetimi ve Akıllı Ekran’ında, tehdit aktörlerinin herhangi bir uyarı vermeden hedef ortamlara ilk erişimi sağlamasını sağlayabilecek tasarım zayıflıkları ortaya çıkardı.
Akıllı Uygulama Denetimi (SAC), Microsoft tarafından Windows 11’de kötü amaçlı, güvenilmeyen ve potansiyel olarak istenmeyen uygulamaların sistemde çalıştırılmasını engellemek için tanıtılan bulut destekli bir güvenlik özelliğidir. Hizmetin uygulama hakkında bir tahminde bulunamadığı durumlarda, yürütülebilmesi için imzalanmış olup olmadığını veya geçerli bir imzaya sahip olup olmadığını kontrol eder.
Windows 10 ile birlikte piyasaya sürülen SmartScreen, bir sitenin veya indirilen bir uygulamanın potansiyel olarak kötü amaçlı olup olmadığını belirleyen benzer bir güvenlik özelliğidir. Ayrıca URL ve uygulama koruması için itibar tabanlı bir yaklaşımdan yararlanır.
Redmond, belgelerinde “Microsoft Defender SmartScreen, bir web sitesinin URL’lerini değerlendirerek güvenli olmayan içerik dağıtıp dağıtmadıklarını veya barındırıp barındırmadıklarını belirler” diyor.
“Ayrıca uygulamalar için itibar kontrolleri sağlar, indirilen programları ve bir dosyayı imzalamak için kullanılan dijital imzayı kontrol eder. Bir URL, bir dosya, bir uygulama veya bir sertifikanın yerleşik bir itibarı varsa, kullanıcılar herhangi bir uyarı görmez. İtibar yoksa, öğe daha yüksek riskli olarak işaretlenir ve kullanıcıya bir uyarı sunar.”
Ayrıca SAC etkinleştirildiğinde Defender SmartScreen’in yerini aldığını ve devre dışı bıraktığını da belirtmekte fayda var.
Elastic Security Labs, The Hacker News ile paylaştığı raporda, “Akıllı Uygulama Kontrolü ve SmartScreen, hiçbir güvenlik uyarısı olmadan ve minimum kullanıcı etkileşimi ile ilk erişime olanak tanıyan bir dizi temel tasarım zayıflığına sahip” ifadelerini kullandı.
Bu korumaları aşmanın en kolay yollarından biri, uygulamayı meşru bir Genişletilmiş Doğrulama (EV) sertifikasıyla imzalatmaktır; bu teknik, kötü niyetli kişiler tarafından kötü amaçlı yazılımları dağıtmak için zaten kullanılıyor; yakın zamanda HotPage olayında da görüldüğü gibi.
Tespitten kaçınma için kullanılabilecek diğer yöntemlerden bazıları aşağıda listelenmiştir –
- İyi bir itibara sahip uygulamaları belirleyip yeniden kullanarak sistemi atlatmayı içeren İtibar Kaçırma (örneğin, JamPlus veya bilinen bir AutoHotkey yorumlayıcısı)
- İtibar Tohumlaması, bir uygulamada bulunan bir güvenlik açığından dolayı veya belirli bir zaman geçtikten sonra kötü amaçlı davranışı tetiklemek için görünüşte zararsız bir saldırgan tarafından kontrol edilen ikili dosyanın kullanılmasını içerir.
- İtibar Kurcalama, genel itibarını kaybetmeden kabuk kodu enjekte etmek için meşru bir ikili dosyanın (örneğin hesap makinesi) belirli bölümlerini değiştirmeyi içerir
- Windows kısayolu (LNK) dosyalarının işlenme biçimindeki bir hatayı istismar ederek web işareti (MotW) etiketini kaldırmayı ve SAC’nin bu etikete sahip dosyaları engellemesi nedeniyle SAC korumalarını aşmayı içeren LNK Stomping.
Araştırmacılar, “Bu, standart dışı hedef yolları veya dahili yapıları olan LNK dosyalarının oluşturulmasını içerir,” dedi. “Tıklandığında, bu LNK dosyaları explorer.exe tarafından kanonik biçimlendirmeyle değiştirilir. Bu değişiklik, güvenlik kontrolleri gerçekleştirilmeden önce MotW etiketinin kaldırılmasına yol açar.”
Şirket, “Ün tabanlı koruma sistemleri, ticari kötü amaçlı yazılımları engellemek için güçlü bir katmandır” dedi. “Ancak, herhangi bir koruma tekniği gibi, biraz dikkatle aşılabilecek zayıflıkları vardır. Güvenlik ekipleri, tespit yığınlarındaki indirmeleri dikkatlice incelemeli ve bu alanda koruma için yalnızca işletim sistemine özgü güvenlik özelliklerine güvenmemelidir.”