Güvenlik uzmanları yakın zamanda tehdit aktörlerinin kopyala-yapıştır işlemleriyle Windows’un Mark-of-the-Web (MotW) korumalarını aşmalarına olanak tanıyan CVE-2024-38213 numaralı bir güvenlik açığını ortaya çıkardı.
“Copy2pwn” olarak adlandırılan bu güvenlik açığı, siber suçluların Windows güvenlik özelliklerindeki zayıflıkları istismar etme çabalarını ve proaktif güvenlik açığı araştırmasının önemini vurguluyor.
WebDAV Paylaşımlarının Tehdidi
Web tabanlı Dağıtılmış Yazarlık ve Sürümleme (WebDAV), dosya paylaşımı ve sürümleme dahil olmak üzere ek işlevler sağlayan bir Hypertext Transfer Protocol (HTTP) uzantısıdır. WebDAV paylaşımlarına web tarayıcıları aracılığıyla erişilebilmesine rağmen, tipik MotW korumalarını atlayarak Windows Explorer yolları olarak da bağlanabilirler.
Tehdit aktörleri, Windows Defender SmartScreen gibi yerleşik Microsoft korumalarından kaçınmak için CVE-2024-36025 ve CVE-2024-21412 gibi güvenlik açıklarından yararlanarak kötü amaçlı yükleri barındırmak için WebDAV paylaşımlarını giderek daha fazla kullanıyor. Saldırganlar, belirli Windows arama sorguları oluşturarak WebDAV paylaşımında görüntülenen dosyaları kontrol edebilir ve potansiyel olarak kötü amaçlı dosyaları zararsız dosyalar olarak gizleyebilir.
Mark-of-the-Web, internetten indirilen dosyalara NTFS Alternatif Veri Akışı (ADS) uygulayan Windows’taki önemli bir güvenlik özelliğidir. Bu, ek güvenlik kontrollerini ve istemlerini tetikleyerek güvenilmeyen içerik yürütme riskini azaltır.
MotW, Windows Defender SmartScreen ve Microsoft Office Protected View gibi diğer koruyucu mekanizmaların düzgün çalışması için olmazsa olmazdır. MotW olmadan, bu güvenlik önlemleri etkisiz hale gelir ve kullanıcıları kötü amaçlı içeriklere karşı savunmasız bırakır.
Zero Day Initiative (ZDI) Tehdit Avcılığı ekibindeki araştırmacılar, kampanyayı, DarkGate operatörlerinin araştırmacılar tarafından Microsoft’a açıklanan CVE-2024-21412 sıfırıncı gün açığını istismar ettiği önceki bir kampanyanın güncellemesi olarak gözlemlediler.
Copy2Pwn MotW Korumalarını Atlatıyor
Microsoft’un Haziran 2024 güvenlik düzeltme eki yayınlanmadan önce, WebDAV paylaşımlarından kopyalanıp yapıştırılan dosyalar MotW atamasını almıyordu. Bu, kullanıcıların bilmeden bir WebDAV paylaşımından masaüstlerine dosya kopyalayıp yapıştırabileceği ve bu dosyaların Windows Defender SmartScreen veya Microsoft Office Protected View korumaları olmadan açılabileceği anlamına geliyordu.
Araştırmacılar, WebDAV paylaşımlarında yükleri barındıran tehdit aktörlerinde bir artış gözlemledi. Bu etkinlik, WebDAV paylaşımlarından kötü amaçlı yükleri erişmenin etrafında kümelenen sıfır gün olarak kötüye kullanılan çok sayıda güvenlik açığının keşfedilmesine yol açtı.
Araştırmacılar, ‘Web Güvenlik Özelliği Atlatma Güvenlik Açığı’ olarak tanımlanan ve Haziran ayında yamalanan CVE-2024-38213 numaralı açığı Microsoft’a bildirdi.
Benzer pano ele geçirme, yapıştırma ve copy2pwn saldırılarına karşı önlem almak için, kullanıcılar WebDAV paylaşımlarına erişirken dikkatli olmalı ve bu kaynaklardan dosya kopyalayıp yapıştırırken dikkatli olmalıdır.