Microsoft Windows’ta, hatalı biçimlendirilmiş imzalarla imzalanmış dosyaların Web İşareti (MotW) korumalarını gizlice geçmesini mümkün kılan, etkin olarak yararlanılan bir güvenlik açığı için resmi olmayan bir yama kullanıma sunuldu.
0patch tarafından yayınlanan düzeltme, HP Wolf Security’nin, dosya şifreleyen kötü amaçlı yazılımı çoğaltmak için bir JavaScript dosyası kullanan sahte güvenlik güncellemeleriyle kullanıcıları hedefleyen bir Magniber fidye yazılımı kampanyasını ifşa etmesinden haftalar sonra geldi.
Windows’ta internetten indirilen dosyalar, yetkisiz eylemleri önlemek için bir MotW bayrağıyla etiketlenirken, o zamandan beri, herhangi bir SmartScreen uyarısı olmadan rastgele yürütülebilir dosyaların yürütülmesine izin vermek için bozuk Authenticode imzalarının kullanılabileceği bulundu.
Authenticode, belirli bir yazılım parçasının yayıncısının kimliğini doğrulayan ve yazılımın imzalanıp yayınlandıktan sonra üzerinde değişiklik yapılıp yapılmadığını doğrulayan bir Microsoft kod imzalama teknolojisidir.
” [JavaScript] dosya aslında MotW’ye sahip, ancak açıldığında hala bir uyarı olmadan yürütülüyor,” diye belirtti HP Wolf Güvenlik araştırmacısı Patrick Schläpfer.
Kaynak: Will Dormann Twitter |
Güvenlik araştırmacısı Will Dormann, “Dosyada bu hatalı biçimlendirilmiş Authenticode imzası varsa, SmartScreen ve/veya dosya açma uyarısı iletişim kutusu atlanır” açıkladı.
Şimdi 0patch kurucu ortağı Mitja Kolsek’e göre, sıfır gün hatası, SmartScreen’in hatalı biçimlendirilmiş imzayı ayrıştırırken bir istisna döndürmesinin bir sonucudur ve bu, yanlış bir şekilde bir uyarıyı tetiklemek yerine programı çalıştırma kararı olarak yorumlanır.
Hata düzeltmeleri, güvenlik araştırmacısına göre, Temmuz ayında ortaya çıkan ve o zamandan beri aktif saldırıya uğrayan başka bir sıfır günlük MotW baypas kusuru için resmi olmayan yamalar gönderildikten iki haftadan kısa bir süre sonra geldi. Kevin Beaumont.
Dormann tarafından keşfedilen güvenlik açığı, Windows’un MotW tanımlayıcısını özel olarak hazırlanmış .ZIP dosyalarından ayıklanan dosyalara nasıl ayarlayamadığını gösteriyor.
Kolsek, “Saldırganlar, bu nedenle, kötü niyetli dosyalarının MOTW ile işaretlenmemesini anlaşılır bir şekilde tercih ediyor; bu güvenlik açığı, ayıklanan kötü amaçlı dosyaların işaretlenmeyeceği bir ZIP arşivi oluşturmalarına izin veriyor.” Dedi.