Microsoft, en az 2018’den beri saldırılarda sıfır gün olarak kullanılan bir Windows Smart App Control ve SmartScreen açığını düzeltti.
Güvenlik açığına sahip sistemlerde, tehdit aktörleri bu güvenlik açığını (şimdi CVE-2024-38217 olarak izleniyor) kötüye kullanarak Akıllı Uygulama Denetimi ve Web İşaretleme (MotW) güvenlik özelliğini atlatıp, güvenilmeyen veya potansiyel olarak tehlikeli ikili dosyaları ve uygulamaları uyarı vermeden başlattılar.
“Bu güvenlik açığından yararlanmak için, bir saldırgan saldırganın kontrolündeki bir sunucuda bir dosya barındırabilir, ardından hedeflenen kullanıcıyı dosyayı indirmeye ve açmaya ikna edebilir. Bu, saldırganın Mark of the Web işlevselliğine müdahale etmesine olanak tanıyabilir,” Microsoft bugün yayınlanan bir güvenlik duyurusunda açıkladı.
“Bir saldırgan, Mark of the Web (MOTW) savunmalarını aşacak kötü amaçlı bir dosya oluşturabilir ve bu da SmartScreen Uygulama İtibarı güvenlik kontrolü ve/veya eski Windows Ek Hizmetleri güvenlik istemi gibi güvenlik özelliklerinin bütünlüğünün ve kullanılabilirliğinin sınırlı bir şekilde kaybolmasına neden olabilir.”
Windows 11’deki Akıllı Uygulama Denetimi, potansiyel olarak zararlı uygulamaları veya ikili dosyaları tespit etmek ve engellemek için Microsoft’un uygulama zekası hizmetlerini ve kod bütünlüğü özelliklerini kullanır.
Windows 11’deki SmartScreen’in yerini alır, ancak kötü amaçlı içeriklere karşı koruma sağlamak için Smart App Control etkinleştirilmemişse SmartScreen yine de otomatik olarak devralır. Her iki güvenlik özelliği de kullanıcılar “Mark of the Web” etiketiyle işaretlenmiş dosyaları açmaya çalıştıklarında etkinleştirilir.
Geçtiğimiz ay, Elastic Security Labs, CVE-2024-38217’yi LNK dosyalarının işlenmesinde bir kusur olarak ifşa etti, LNK stomping olarak bilinir. Bu kusur, saldırganların güvenilmeyen uygulamaların başlatılmasını engelleyen Akıllı Uygulama Denetimi güvenlik özelliklerini atlatmasını sağlar.
LNK ezme, alışılmadık hedef yolları veya dahili yapıları olan LNK dosyaları oluşturmayı içerir. Bir kullanıcı bu dosyalardan birine tıkladığında, Windows Explorer (explorer.exe) LNK dosyasını kanonik biçimlendirmesini kullanacak şekilde otomatik olarak ayarlar. Ancak, bu işlem aynı zamanda indirilen dosyalardan Windows güvenlik özelliklerinin otomatik bir güvenlik denetimini tetiklemek için kullandığı bir işaret olan “Web İşareti” (MotW) etiketini de kaldırır.
Bu kusurdan faydalanmak için saldırganlar hedef yürütülebilir dosya yoluna bir nokta veya boşluk ekleyebilir (örneğin, bunu “powershell.exe” gibi ikili isme ekleyebilir) veya “.\target.exe” gibi göreli bir yol içeren bir LNK dosyası oluşturabilir. Hedef bağlantıya tıkladığında, Windows Gezgini doğru yürütülebilir dosyayı belirler, yolu günceller, MotW etiketini kaldırır ve dosyayı başlatarak güvenlik kontrollerini atlatır.
Elastic Security Labs, Ağustos ayında yaptığı açıklamada, VirusTotal’da bulunan çok sayıda örneğin en eskisinin altı yıl öncesine dayandığını belirterek, söz konusu güvenlik açığının yıllardır istismar edildiğine dair sebepler olduğunu söyledi.
Şirket bulgularını Microsoft Güvenlik Yanıt Merkezi ile paylaştı; merkez de sorunu kabul ederek “gelecekteki bir Windows güncellemesinde düzeltilebileceğini” söyledi.
Elastic Security Labs araştırmacısı Joe Desimone da bir dosyanın Akıllı Uygulama Denetimi güven düzeyini değerlendirmek için açık kaynaklı bir araç geliştirdi ve paylaştı.