Microsoft, en az 2018'den bu yana saldırılarda sıfır gün olarak kullanılan bir Windows akıllı uygulama kontrolü ve akıllı ekran kusurunu düzeltti.
Savunmasız sistemlerde, tehdit aktörleri, güvensiz veya potansiyel olarak tehlikeli ikili ve uygulamaları uyarmadan başlatmak için akıllı uygulama kontrolünü ve Web (MOTW) Güvenlik özelliğini atlatmak için güvenlik açığını (şimdi CVE-2024-38217 olarak izlendi) kötüye kullandı.
Microsoft, "Bu güvenlik açığından yararlanmak için bir saldırgan, saldırgan kontrollü bir sunucuda bir dosya barındırabilir, daha sonra hedeflenen bir kullanıcıyı dosyayı indirmeye ve açmaya ikna edebilir. Bu, saldırganın web işlevselliğinin işaretine müdahale etmesine izin verebilir." Bugün yayınlanan bir güvenlik danışmanlığı.
"Bir saldırgan, Web (MOTW) savunmalarının işaretinden kaçacak kötü niyetli bir dosya oluşturabilir, bu da akıllı ekran uygulama itibarının güvenlik kontrolü ve/veya eski Windows Bağlanma Hizmetleri güvenlik istemi gibi güvenlik özelliklerinin sınırlı bir şekilde kaybı ve güvenlik özelliklerinin kullanılabilirliği ile sonuçlanabilir. "
Windows 11'deki Smart App Control, potansiyel olarak zararlı uygulamaları veya ikili dosyaları algılamak ve engellemek için Microsoft'un uygulama istihbarat hizmetlerini ve kod bütünlüğü özelliklerini kullanır.
Windows 11'deki SmartScreen'in yerini alır, ancak SmartScreen, kötü amaçlı içeriğe karşı korunmak için Smart App kontrolü etkin değilse otomatik olarak devralır. Her iki güvenlik özelliği de kullanıcılar "Web'in İşareti" etiketi ile işaretlenmiş dosyaları açmaya çalıştığında etkinleştirilir.
Geçen ay, Elastik Güvenlik Laboratuarları CVE-2024-38217'yi LNK stomping olarak bilinen LNK dosyalarını ele almada bir kusur olarak açıkladı. Bu kusur, saldırganların aksi takdirde güvenilmeyen uygulamaların başlatılmasını engelleyen akıllı uygulama kontrol güvenlik özelliklerini atlamasına olanak tanır.
LNK stomping, alışılmadık hedef yollara veya iç yapılara sahip LNK dosyaları oluşturmayı içerir. Bir kullanıcı bu dosyalardan birini tıkladığında, Windows Explorer (explorer.exe), LNK dosyasını kanonik biçimlendirmesini kullanacak şekilde otomatik olarak ayarlar. Ancak, bu işlem ayrıca Windows Security özelliklerinin otomatik bir güvenlik kontrolünü tetiklemek için kullandığı bir işaret olan indirilen dosyalardan "Web'in İşareti" (MOTW) etiketini de kaldırır.
Bu kusurdan yararlanmak için saldırganlar, hedef yürütülebilir yola bir nokta veya boşluk ekleyebilir (örneğin, "PowerShell.exe" gibi ikili ada ekleyebilir) veya ". \ Target gibi göreceli bir yola sahip bir LNK dosyası oluşturabilir. exe." Hedef bağlantıyı tıkladığında, Windows Gezgini doğru yürütülebilir dosyayı tanımlar, yolu günceller, MOTW etiketini kaldırır ve güvenlik kontrollerini atlayarak dosyayı başlatır.
Elastik Güvenlik Laboratuarları, Ağustos ayında, altı yıl boyunca en eski olan Virustotal'da birden fazla numune bulunduğundan, kırılganlığın yıllarca kullanıldığına inanmak için bir neden olduğunu söyledi.
Şirket, bulgularını sorunu kabul eden ve "gelecekteki bir Windows güncellemesinde düzeltilebileceğini" söyledi.
Elastik Güvenlik Laboratuarları araştırmacısı Joe Desimone, bir dosyanın akıllı uygulama kontrol güven seviyesini değerlendirmek için açık kaynaklı bir araç geliştirdi ve paylaştı.
Windows Update Downgrade Saldırı "Uncatches" tam güncellenmiş sistemler
Windows Smart App Control, SmartScreen Bypass 2018'den beri sömürüldü
Microsoft, kişisel, çalışma hesapları için Unified Teams uygulamasını başlattı
Windows Temmuz Güvenlik Güncellemeleri PC'leri Bitlocker Kurtarma'ya Gönder
Önümüzdeki ay Windows 22H2 Sistemlerini Kuvvet Yükleme Başlatmaya Başlayacak Microsoft
Kaynak: Bleeping Computer