Microsoft’un Nisan 2023’te yamaladığı 97 CVE arasında, ayrıcalığı olmayan bir kullanıcının Windows Defender’ı ele geçirmesine ve onu hedef sistemleri kasıp kavurmak için kullanmasına olanak tanıyan bir güvenlik özelliğini atlama güvenlik açığı da vardı.
Daha önce güvenlik ürünlerinde benzer güvenlik açıkları keşfeden SafeBreach’teki araştırmacılar, virüsten koruma aracının güncelleme sürecini devralma girişimi sırasında Windows Defender ile ilgili sorunu ortaya çıkardı.
Güncelleme İşlemini Ele Geçirmek
Araştırmanın amacı, güncelleme işleminin bilinen kötü amaçlı yazılımları yazılımın korumak için tasarlandığı sistemlere gizlice sokmak için kullanılıp kullanılamayacağını doğrulamaktı. Araştırmacılar ayrıca, Windows Defender’ın bilinen tehditlerin imzalarını silmesini sağlayıp sağlayamayacaklarını ve daha da kötüsü zararsız dosyaları silip güvenliği ihlal edilmiş bir sistemde hizmet reddi durumunu tetikleyip tetikleyemeyeceklerini doğrulamak istediler.
Araştırmacılar üç hedefe de ulaşmayı başardılar ve hatta wd-pretender adlı – Windows Defender Pretender için – saldırı vektörlerinin her birini uygulayan otomatik bir araç geliştirdiler. Microsoft, keşfettikleri sorun – CVE-2023-24934 – için bir CVE atadı ve Nisan ayında bu sorun için bir düzeltme yayınladı.
SafeBreach araştırmacıları Tomer Bar ve Omer Attias, bu hafta “Defender Pretender: Windows Defender Güncellemeleri Güvenlik Riski Olduğunda” başlıklı bir Black Hat oturumunda bulgularının bir özetini sundular.
Sunumlarından önce Dark Reading ile yaptıkları konuşmada Tomer ve Omer, araştırmalarının 2012’de İran’daki ve Orta Doğu’daki diğer ülkeleri hedef alan sofistike Flame siber casusluk kampanyasından ilham aldığını söylüyor. Kampanyanın arkasındaki ulus-devlet aktörü kendilerini araya soktu Windows güncelleme sürecinin ortasına geldi ve daha önce virüs bulaşmış bilgisayarlarda Flame kötü amaçlı yazılım aracını dağıtmak için kullandı.
Tomer, SafeBreach’in son araştırmasının amacının, Flame kampanyasında olduğu gibi, karmaşık bir ortadaki adam saldırısı ve sahte bir sertifika olmadan benzer bir şeyi kopyalayıp kopyalayamayacaklarını görmek olduğunu söylüyor. Önemli bir şekilde, araştırmacılar ayrıcalıksız bir kullanıcı olarak Windows Defender güncelleme sürecini üstlenip üstlenmeyeceklerini görmek istediler.
Defender Güncelleme Süreci
Tomer ve Omer, Windows Defender güncelleme sürecini incelerken, imza güncellemelerinin genellikle Microsoft Protection Antimalware Front End (MPAM-FE) adı verilen tek bir yürütülebilir dosyada bulunduğunu keşfettiler.[.]exe). MPAM dosyası, sırasıyla iki yürütülebilir dosya ve sıkıştırılmış — ancak şifrelenmemiş — kötü amaçlı yazılım imzalarına sahip dört ek Sanal Aygıt Meta Verisi (VDM) dosyası içeriyordu. VDM dosyaları, imza güncellemelerini Defender’a göndermek için birlikte çalıştı.
Araştırmacılar, VDM dosyalarından ikisinin yaklaşık 2,5 milyon kötü amaçlı yazılım imzası içeren büyük boyutlu “Temel” dosyalar olduğunu, diğer ikisinin ise daha küçük boyutlu ancak daha karmaşık “Delta” dosyaları olduğunu keşfetti. Temel dosyanın, Defender’ın güncelleme işlemi sırasında kötü amaçlı yazılım imzalarını kontrol ettiği ana dosya olduğunu, daha küçük Delta dosyasının ise Temel dosyada yapılması gereken değişiklikleri tanımladığını belirlediler.
Başlangıçta Tomer ve Omer, MPAM dosyasındaki yürütülebilir dosyalardan birini kendilerine ait bir dosyayla değiştirerek Defender güncelleme sürecini kaçırıp kaçıramayacaklarını görmeye çalıştı. Tomer, Defender’ın dosyanın Microsoft imzalı olmadığını hemen fark ettiğini ve güncelleme işlemini durdurduğunu söylüyor.
İmzalı Dosyalarla Kurcalama
Ardından araştırmacılar, Microsoft imzalı VDM dosyalarını kurcalayarak Defender güncelleme sürecini üstlenip üstlenemeyeceklerini görmeye karar verdiler.
Dosyaları analiz ederken, kötü amaçlı yazılım adlarını ve bunlarla ilişkili imzaları ve dizilerin nerede başlayıp nerede bittiğini kolayca tespit edebildiler. İki araştırmacı, Windows Defender imzalarının Base ve Delta dosyalarındaki verilerin birleştirilmesinin sonucu olduğunu buldu. Defender’ın, birleştirme işlemi sırasında veya öncesinde dosyalardaki verilerin değişmediğinden emin olmak için bir doğrulama süreci kullandığını ve Defender’ın doğrulama amaçları için kullandığı iki özel sayı tanımladığını gördüler. Tomer, değiştirilmiş bir VDM dosya sürümünü kullanarak güncelleme sürecini kaçırmak için bu bilgiyi kullanabileceğini söylüyor.
Tomer, kavramın kanıtı olarak, VDM dosyalarında değişiklikler yapabildiğini, böylece Defender’ın her iki tehdidi de tespit etmek için imzaları olmasına rağmen Conti fidye yazılımı ve Mimikatz gibi tehditleri tespit edemediğini söylüyor. Belirli bir kötü amaçlı yazılım tehdidinin adını Defender imza veritabanından silerek, Defender’ın tehdidi algılamamasını sağlayabildiler.
Benzer şekilde, araştırmacılar, temelde Defender kullanıcılarının iyi huylu dosyaları tanımlaması için bir izin verilenler listesi olan “FriendlyFiles” olarak etiketleyerek kötü amaçlı dosyaları bir sisteme kolayca sızdırabileceklerini keşfettiler. Kanıt olarak, FriendlyFiles listesindeki bir hash’i Mimikatz hash’iyle değiştirerek bir sistemde Mimikatz’a nasıl gizlice girebileceklerini gösterdiler. Tomer ayrıca, Windows Defender’ı sistemdeki tüm taşınabilir yürütülebilir dosyaların Emotet kötü amaçlı yazılımı olduğunu düşünmesi için kandırarak bir test makinesinde bir hizmet reddi durumunu tetikleyebildiğini söylüyor. Araştırmacılar saldırıyı, Defender’ın “Bu program dos modunda çalıştırılamaz” dizesiyle karşılaştığında – neredeyse her modern uygulama için geçerli olan bir şey – Defender’ın bunları otomatik olarak sileceği şekilde düzenledi. Tomer, nihai sonucun test sisteminde tamamen hizmet reddi olduğunu söylüyor.
Daha önce, SafeBreach’ten başka bir araştırmacı, yalnızca ayrıcalıksız bir kullanıcının izinlerine sahip bir saldırganın, bir sistemdeki herhangi bir dosyayı silmek için birkaç yaygın uç nokta algılama ve yanıt sistemini nasıl manipüle edebileceğini göstermişti. Tomer, kuruluşlar için en önemli çıkarımın, motive olmuş saldırganların her zaman tipik olarak güvenilir güvenlik teknolojilerini bile atlamanın yollarını bulabilmeleri olduğunu söylüyor.
Microsoft, güncelleme işlemi sırasında dijital olarak imzalanmış dosyalar kullanırken, Windows Defender güvenlik açığı şu anlama geliyordu: doğrulama kontrolleri, imzalanan dosyalarda sonraki değişiklikleri tespit edemedi, diyor. İmza güncelleme süreçlerinin yeni bir saldırı vektörü olarak kullanılma potansiyeline dayanarak, bu sürecin güvenliğini sağlamak için daha fazla araştırmaya ihtiyaç olduğunu söylüyor.