Kötü amaçlı yazılım yazarlarının, Mark of the Web uyarılarını atlatmak için çok eski gibi görünen bir hatayı kullandıklarına dair raporlara göz atıyoruz.
Windows’un internetten indirilen bir dosyayı açmaya çalışırken bir uyarı mesajı vermesini sağlayan teknoloji olan Web İşareti (MOTW) yeniden gündeme geldi, ancak ne yazık ki iyi bir şekilde değil.
Bleeping Computer, yakın zamanda ortaya çıkarılan (ancak biraz eski) bir hatanın ortaya çıkarıldığını ve bu da kötü niyetli kişilerin MOTW uyarılarını atlamasına yardımcı olduğunu bildirdi. Görünüşe göre bu, fidye yazılımı saldırılarında zaten gözlemlendi.
MOTW başlangıçta bir Internet Explorer güvenlik özelliğiydi. Windows cihazlarınızın kim bilir nereden indirilen dosyalarla etkileşim kurarken bir uyarı vermesi için genişledi. Zamanla, belirli dosya türlerinin çalışmasının engellenmesine bile katkıda bulundu. Çok yönlü, yardımcı bir şey. En son 7-Zip MOTW’u desteklemeye karar verdiğinde bundan bahsetmiştik.
MOTW ile işaretlenmiş bir dosyayı açarsanız, dosya özelliklerine bakıp bakmadığınıza veya indirdiğiniz bir dosyayı açmaya çalışmanıza bağlı olarak en azından birkaç mesajdan birini görmelisiniz. Bu olabilir:
Bu dosya başka bir bilgisayardan geldi ve bu bilgisayarın korunmasına yardımcı olmak için engellenmiş olabilir.
Alternatif olarak, bunun yerine şunu görebilirsiniz:
İnternetten alınan dosyalar yararlı olsa da, bu dosya türü potansiyel olarak bilgisayarınıza zarar verebilir. Kaynağa güvenmiyorsanız bu yazılımı açmayın.
Microsoft Office, Korumalı Görünümün etkinleştirilip etkinleştirilmeyeceğine karar vermenin bir yolu olarak MOTW’yi de kullanır.
MOTW’yi Atlamak
İmzalı dosyalar bu bilmecenin anahtarı gibi görünüyor. Dosyalar, onları kimin oluşturduğunu doğrulamak ve imzalandıklarından beri değiştirilmediklerini doğrulamak için kriptografik olarak imzalanabilir. (Microsoft’un işaret ettiği gibi, bu bir dosyanın güvenlisadece tahrif edilmemiş olmasıdır.)
Çok uzak çok iyi. Yine de bu, MOTW baypaslarına nasıl yol açar? Her şeyden önce, bu birkaç yıldır bir sorun olmuş gibi görünüyor. Daha spesifik olmak gerekirse, bu muhtemelen Windows 10’un piyasaya sürülmesiyle ilgili bir hata haline geldi.
Windows 8.0 RTM bunu doğru yapıyor.
Yani 2012 ile 2016 arasında bir yerde kırıldı. pic.twitter.com/bOWE2wWyRW— Will Dormann (@wdormann) 20 Ekim 2022
Sorun, hatalı biçimlendirilmiş bir imzanın, AWOL’a giden kötü zamanları bildirmek için çeşitli olası uyarılarla sonuçlanmasıdır. Onları asla görmeyeceksiniz:
tamam bu kötü İmzayla ilgili olduğu konusunda doğru yoldasın. Ama sorun şu:
Dosyada hatalı biçimlendirilmiş Authenticode imzası varsa, SmartScreen ve/veya dosya açma uyarısı diyaloğu atlanır. Senaryo içeriğinden bağımsız olarak
Sanki dosyada MotW yokmuş gibi. pic.twitter.com/pdDWDU98UU— Will Dormann (@wdormann) 18 Ekim 2022
Bleeping Computer’da Will Dormann ile yapılan bir röportaja göre, sorunun Windows 10’da tanıtılan SmartScreen ile ilgili olduğu görülüyor.
Windows 8.1 neden bozuk bir imzanın MotW istemini atladığı davranışa sahip değil?
Windows 10 ve daha yeni MotW istemi, varsayılan olarak SmartScreen ile bir nevi iç içedir.
“Uygulamaları ve dosyaları kontrol et”i kapatırsanız, daha önceki Windows sürümlerine benzer bir davranış elde edersiniz. pic.twitter.com/T6k3xNKOFY— Will Dormann (@wdormann) 20 Ekim 2022
Kötü amaçlı yazılım yazarlarının güvenlik özelliklerini başlarının üstüne çevirebilmesi ve bunları cihazlarının önünde oturan insanlara karşı kullanabilmesi asla iyi bir şey değildir. Zaten görmeniz gereken ve aynı zamanda sizi güvende tutması gereken bir uyarıyı gördüğünüzden emin olmak için SmartScreen gibi bir ayarı devre dışı bırakarak kendinizi daha az güvenli hale getirmek, kimsenin yapması gereken bir takas değildir. Bunun mümkün olan en kısa sürede çözülmesine parmak bastı.