Güvenlik araştırmacısı Nafiez, Windows LNK dosyalarını (kısayollar) etkileyen daha önce bilinmeyen bir güvenlik açığını, saldırganların kullanıcı etkileşimi olmadan kodu uzaktan yürütmesine izin verebilecek açıklamıştır. Çalışan bir konsept kanıtı (POC) yayınlamasına rağmen, Microsoft kusuru yamayı reddetti ve “servis için güvenlik çubuklarını karşılamıyor” dedi.
Keşfedilen kusur, Windows kısayol dosyalarının yapısındaki belirli öğeleri kullanan sofistike bir saldırı vektörü içerir. Kötü niyetli LNK dosyalarını manipüle edilmiş çevrevariilableatablock ve UNC yollarıyla hazırlayarak, saldırganlar, bir kullanıcı kötü niyetli kısayol içeren bir klasör açtığında sessiz ağ bağlantılarını tetikleyebilir.
“Kullanıcı erişimi olduğunda[es] LNK dosyasına sahip bir klasör olan Explorer, klasörde depolanan tüm dosyaları ayrıştıracak… Dosyanın başlatılmasının hazırlandığı yer burası [to be] aranan/yürütüldü, ”diye açıkladı Nafiez teknik analizde.
.png
)
Bu güvenlik açığı özellikle ilgilidir, çünkü kullanıcının, kötü niyetli LNK dosyasını içeren bir dizine, saldırıyı başlatmak için yeterlidir.
POC Detayları Serbest Bırakıldı
İstismar, LNK dosya yapısı içindeki birkaç temel öğeyi manipüle ederek çalışır:
- Yürütme akışını kontrol etmek için HasArguments bayrağını ve envectVariableatablock’u ayarlamak
- Bir UNC yolunu (örneğin, \ 192.168.44.128 \ c) hedef olarak gömmek
- LNK dosya davranışını kontrol etmek için belirli blok boyutu ve imza değerlerini ayarlama
Windows Explorer, bu özel hazırlanmış dosyaları, ağ kaynaklarını idare eden iinitializeNetworkFolder ve IshellFolder2 dahil olmak üzere bir COM arayüzleri zinciri aracılığıyla işler. Bu işlem, bir klasöre erişildiğinde otomatik olarak başlar ve sessiz yürütme için bir fırsat oluşturur.
Microsoft, Web (MOTW) Güvenlik Özelliklerinin yeterli koruma sağladığını savunarak bu güvenlik açığını düzeltmeme kararlarını haklı çıkardı.
MOTW, potansiyel olarak kötü niyetli olabilecek ve yürütmeden önce güvenlik uyarılarını tetikleyen indirilen dosyalara yerleştirilen dijital bir etikettir.
Bu yanıt, Microsoft’un önceki LNK güvenlik açıklarına yaklaşımını yansıtıyor. Güvenlik hizmet kriterlerine göre, Microsoft güvenlik açıklarını yalnızca “bir güvenlik sınırı veya güvenlik özelliğinin hedefini veya niyetini ihlal ettikleri” ve hizmet için ciddiyet eşiğini karşılamaları durumunda ele alırlar.
“Kodu derledikten sonra, LNK dosyası oluşturmak için yürütülebilir dosyayı çalıştırın ve çalıştırdığınızdan emin olun Responder NTLM karma yakalamak için araç, ”dedi araştırmacı Nafiez.
Güvenlik uzmanları, bilinen bypass teknikleri olduğu için yalnızca MOTW’a güvenmenin yetersiz olabileceğini ifade etmektedir. Elastik Güvenlik Laboratuarlarındaki araştırmacılar yakın zamanda tehdit aktörleri tarafından en az altı yıl boyunca MOTW kontrollerini atlamak için kullanılan “LNK stomping” adı verilen bir tekniği ortaya çıkardılar.
LNK dosyaları ilk kez kullanılmadı. Microsoft, 2017’de uzaktan kod yürütme kusuru ve 2010’da aktif olarak sömürülen bir diğeri de dahil olmak üzere LNK dosyalarındaki kritik güvenlik açıklarını ele almıştır.
LNK dosyaları, tehdit aktörleri için giderek daha popüler bir saldırı vektörü haline geldi. Intezer Note Güvenlik Araştırmacıları olarak, “LNK dosyaları (diğer adıyla Windows kısayolları) basit görünebilir, ancak tehdit aktörleri bunları diğer ikili dosyaları yürütmek ve büyük zarar vermek için kullanabilirler”.
Kamuya açık olan kavram kanıtı kodu, bu güvenlik açığının yakında gerçek dünya saldırılarında tehdit aktörleri tarafından silahlandırılabileceği endişelerini artırıyor.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.