Windows, Web bayraklarının işaretinin indirilen ISO dosyaları içindeki dosyalara yayılmasını engelleyen bir hatayı düzeltti ve kötü amaçlı yazılım distribütörlerine ve geliştiricilerine büyük bir darbe aldı.
Web'in Mark'a (MOTW) aşina olmayanlar için, işletim sistemi ve yüklü uygulamalar tarafından şüpheli olarak etiketlenecek şekilde internetten kaynaklanan dosyaları işaretleyen bir Windows güvenlik özelliğidir.
MOTW bayrağı, dosyalara, dosyanın hangi URL güvenlik bölgesini, yönlendirmeyi ve dosyaya URL'yi içeren alternatif bir veri akışı olarak eklenir.
Alternatif veri akışları, özel bir araç veya komut isteminde 'dir /r' komutu kullanılarak görüntülenebilen ve aşağıda gösterildiği gibi doğrudan not defterinde açılan bir NTFS dosya özniteliğidir.
Web bayrağının işaretine sahip bir dosya açmaya çalışırken, Windows, dosyanın dikkatle ele alınması gerektiği konusunda bir güvenlik uyarısı görüntüleyecektir.
"İnternetten dosyalar yararlı olsa da, bu dosya türü bilgisayarınıza potansiyel olarak zarar verebilir. Kaynağa güvenmiyorsanız, bu yazılımı açmayın."
Microsoft Office, dosyanın korunan görünümde açılıp açılmayacağını belirlemek için MOTW bayrağını kullanır ve bir uyarının görüntülenmesine ve makroların devre dışı bırakılmasına neden olur.
Kasım Yaması Salı güncellemelerinin bir parçası olarak Microsoft, tehdit aktörlerinin web güvenlik özelliğinin işaretini atlayabilecek dosyalar oluşturmasına izin veren çok sayıda güvenlik açığı düzeltti.
Güncellemelere, aktörlerin kimlik avı kampanyalarında yaygın olarak kötüye kullanılmasını tehdit eden bir hata için beklenmedik bir düzeltme vardı.
Microsoft MSRC'nin güvenlik açığı ve hafifletme ekibinde bir mühendis olan Bill Demirkapi'ye göre, MOTW bayrağının bir ISO disk görüntüsü içindeki dosyalara yayılmasını engelleyen bir hata düzeltildi.
Bir süredir, tehdit aktörleri, hedefleri kötü amaçlı yazılımlarla enfekte etmek için kimlik avı kampanyalarında ISO disk görüntülerini ek olarak dağıtıyorlar.
Windows 8'den beri, üzerine çift tıklayarak bir ISO dosyası açmak mümkündür, bu da Windows'un yeni bir sürücü mektubu altında bir DVD sürücüsü olarak monte etmesine neden olur.
İndirilen veya ekli bir ISO dosyası Web'in işaretini içerecek ve açıldığında bir uyarı verecek olsa da, hata MOTW bayrağının Windows kısayolları (LNK dosyaları) gibi Microsoft olmayan ofis dosyası türlerine yayılmamasına neden oldu.
Bu nedenle, bir kullanıcı bir ISO eki açarsa ve ekteki LNK dosyasını çift tıklatırsa, aşağıda gösterildiği gibi bir güvenlik uyarısı görüntüleyerek Windows olmadan otomatik olarak çalışır.
CVE-2022-41091 için Kasım Yaması Salı Güvenlik güncellemelerini yükledikten sonra, Windows artık Web bayrağının işaretini ISO dosyasından tüm içeriğine yayacak ve LNK dosyasını başlatırken bir güvenlik uyarısı gösterecektir.
ISO MOTW yayılımını düzeltmenin yanı sıra, Kasım güncellemeleri ayrıca, analizinde üst düzey bir güvenlik açığı analisti olan Will Dorman tarafından keşfedilen ve bildirilen iki MOTW hatası da, Wild'da aktif olarak istismar edildi.
İlk hata, Windows SmartScreen'in Windows 11 22H2'de başarısız olmasına ve doğrudan Zip Arşivlerinden dosyaları açarken web uyarılarının geçmesine neden olur.
Yolsuzluk-antikod hatasını resimden çıkaralım. Windows'un indirmeleri nasıl tarayacağınızı/isteyeceğinizi nasıl belirlediğini söyleyemem. Ağı olmayan bir VM'de (bu yüzden SS uyarısını açıkça görüyoruz), bir zip içinde XP'den calc.exe var: Önce alıntı: Akıllı ekran uyarısı. Zip'den Koş: Sadece koş! pic.twitter.com/by3gpli6go
'Zippyreads' olarak adlandırılan ikinci hata, basitçe salt okunur bir dosya içeren bir fermuar dosyası oluşturarak kullanılabilir. Bu arşiv Windows Gezgini'nde açıldığında, MOTW bayrağı salt okunur dosyaya yayılmayacak ve güvenlik uyarılarını atlayacaktır.
Bu güvenlik açıklarının her ikisi de CVE-2022-41049 için Kasım Windows güvenlik güncellemelerinin bir parçası olarak sabitlendi.
Bununla birlikte, başka bir hata Dorman, serbest kalır ve tek başına JavaScript dosyalarının MOTW uyarılarını atlamasına ve dosya hatalı bir imza kullanılarak imzalandığında komut dosyasını otomatik olarak yürütmesine izin verir.
Magniber fidye yazılımlarını dağıtan tehdit aktörleri bu hatayı aktif olarak sömürdüğü için, muhtemelen yakında bir düzeltme göreceğiz.
Microsoft Kasım 2022 Patch Salı Düzeltmeleri 6 Sıralı Sıfır Günleri, 68 Kusur
Windows Sıralı Sıfır Gün JavaScript Dosyaları Güvenlik Uyarılarını Bahsetin
Web atlamasının Windows Mark Sıfır Günlük Gayri Yaması Alır
Microsoft Ekim 2022 Patch Salı günü Saldırılarda Kullanılan Zero Day, 84 Kusurlu
Microsoft Eylül 2022 Patch Saldırı Saldırılarda Kullanılan Zero Day'i düzeltiyor, 63 Kusur
Kaynak: Bleeping Computer