Saldırganların güvenlik uyarılarını tetiklemeden programları başlatmasına olanak tanıyan Windows Smart App Control ve SmartScreen’deki bir tasarım hatası en az 2018’den beri istismar ediliyor.
Akıllı Uygulama Denetimi, güvenlik tahminleri için Microsoft’un uygulama zekası hizmetlerini ve güvenilmeyen (imzasız) veya potansiyel olarak tehlikeli ikili dosyaları ve uygulamaları belirlemek ve engellemek için Windows’un kod bütünlüğü özelliklerini kullanan itibar tabanlı bir güvenlik özelliğidir.
Windows 11’deki SmartScreen’in yerini alır, Windows 8 ile tanıtılan ve potansiyel olarak kötü amaçlı içeriklere karşı koruma sağlamak için tasarlanmış benzer bir özelliktir (Smart App Control etkinleştirilmediğinde SmartScreen devreye girer). Her iki özellik de kullanıcı Mark of the Web (MotW) etiketiyle etiketlenmiş dosyaları açmaya çalıştığında etkinleştirilir.
Elastic Security Labs’ın keşfettiği üzere, LNK dosyalarının işlenmesindeki bir hata (LNK ezme olarak adlandırılır), tehdit aktörlerinin güvenilmeyen uygulamaları engellemek için tasarlanmış Akıllı Uygulama Kontrolü güvenlik kontrollerini aşmasına yardımcı olabilir.
LNK ezme, standart dışı hedef yolları veya dahili yapıları olan LNK dosyaları oluşturmayı içerir. Bir kullanıcı böyle bir dosyaya tıkladığında, explorer.exe LNK dosyalarını doğru kanonik biçimlendirmeyi kullanacak şekilde otomatik olarak değiştirir.
Ancak bu aynı zamanda indirilen dosyalardan Windows güvenlik özelliklerinin bir güvenlik denetimini tetiklemek için kullandığı MotW (Mark of the Web) etiketini de kaldırır.
Bu tasarım kusurundan faydalanmak için, hedef yürütülebilir yola bir nokta veya boşluk eklenebilir (örneğin, “powershell.exe” gibi bir ikili dosyanın uzantısından sonra) veya “.\target.exe” gibi göreli bir yol içeren bir LNK dosyası oluşturulabilir.
Kullanıcı bağlantıya tıkladığında, Windows Gezgini eşleşen .exe adını arayacak ve belirleyecek, tam yolu düzeltecek, diskteki dosyayı güncelleyerek MotW’yi kaldıracak ve yürütülebilir dosyayı başlatacaktır.
Elastic Security Labs, bu zayıflığın yıllardır kötüye kullanıldığına inanıyor; zira VirusTotal’da bu zayıflığı istismar etmek üzere tasarlanmış çok sayıda örnek buldu; bunlardan en eskisi altı yıldan uzun bir süre önce gönderilmişti.
Ayrıca bu bulguları Microsoft Güvenlik Yanıt Merkezi ile paylaşan şirket, sorunun “gelecekteki bir Windows güncellemesinde düzeltilebileceğini” söyledi.
Elastic Security Labs ayrıca saldırganların Akıllı Uygulama Denetimi ve Akıllı Ekran’ı atlatmak için kullanabileceği diğer zayıflıkları da açıkladı:
- İmzalanmış kötü amaçlı yazılım: Kod imzalama veya Genişletilmiş Doğrulama (EV) imzalama sertifikalarını kullanarak kötü amaçlı yükleri imzalama.
- İtibar ele geçirme: Sistemi aşmak için iyi bir itibara sahip uygulamaları bulup yeniden kullanmak.
- İtibar yayma: Saldırgan tarafından kontrol edilen ikili dosyaların sisteme dağıtılması (örneğin, bilinen güvenlik açıklarına sahip bir uygulama veya yalnızca belirli koşullar karşılandığında tetiklenen kötü amaçlı kod).
- İtibarın bozulması: İlişkili itibarı kaybetmeden ikili dosyalara kötü amaçlı kod enjekte etmek.
Elastic Security Labs, “Akıllı Uygulama Denetimi ve SmartScreen’in, hiçbir güvenlik uyarısı olmadan ve minimum kullanıcı etkileşimiyle ilk erişime olanak tanıyan bir dizi temel tasarım zayıflığı bulunuyor” uyarısında bulundu.
“Güvenlik ekipleri, tespit yığınlarındaki indirmeleri dikkatlice incelemeli ve bu alanda koruma için yalnızca işletim sistemine özgü güvenlik özelliklerine güvenmemelidir.
“Bu bilgileri, tespit mantığı ve karşı önlemlerle birlikte, savunmacıların bir yama yayınlanana kadar bu aktiviteyi tespit etmelerine yardımcı olmak için yayınlıyoruz.”
Elastik Güvenlik Labs araştırmacısı Joe Desimone, bir dosyanın Akıllı Uygulama Denetimi güven düzeyini kontrol etmek için açık kaynaklı bir araç yayınladı.