Windows 10 ayarlar kısayollarında zararlı yazılım çalıştırmaya imkan sağlayan açık tespit edildi.
Windows 10 ile birlikte 2015’ten beri yeni bir dosya formatı türü eklendi. “.SettingContent-ms” dosya formatı Windows 10 ayarlar sayfalarına kısayollar oluşturmak için kullanıyordu. Windows bunları eski denetim masasının alternatifi olarak oluşturdu. Ancak bu dosya türünün zararlı yazılım yürütmeye olanak sağladığı bulundu.
SettingContent-ms dosyalarının tüm içeriği basit bir XML dosyası niteliğinde. İçerisinde yer alan <DeepLink> satırıyla birlikte Windows ayarlar sayfasının disk üzerindeki konumu belirtiliyor. Bu kısayola çift tıklandığında da ayarlar sayfası açılıyor.
Normal SettingContent-ms uzantılı dosya türü bu şekilde bir yapıya sahip. <DeepLink> satırında yer alan dizini kolaylıkla değiştirmek mümkün. Örneğin control.exe değil de cmd.exe /c calc.exe yazdığımızda ve dosyaya çift tıkladığımızda ayarlar yerine hesap makinesi açılıyor.
Üstelik dosyaya çift tıkladığınız zaman çalıştır uyarısı ile de karşılaşmıyorsunuz. Windows doğrudan komutu yürütüyor. Peki kötü niyetli kullanıcılar bunu nasıl kullanabilir? Bir internet adresinden dosyayı indirip çalıştırırsanız, videoda örneğini görebileceğiniz gibi komut otomatik olarak çalıştırılabilir. Üstelik karşınıza hiçbir uyarı da gelmiyor.
Basit şekilde dosyayı indirip çalıştırmak mümkün olsa da, genellikle kullanıcılar “SettingContent-ms” uzantılı bir dosyayı indirip çalıştırmak istemeyecektir. Araştırmacılar bu sorunun da kolaylıkla aşılabileceğini belirtiyor. Object Linking and Embedding (OLE) adı verilen Microsoft Office özelliği kullanılarak kod herhangi bir ofis dosyasının içine yerleştirilebiliyor.
OLE özelliği, ofis dosyalarının içine diğer dosyaları yerleştirmeye yarıyor. Ofis paketinin özelliklerini genişletmek için bu özellik geliştirilmiş olsa da uzun zamandır kullanıcıların bilgisayarında zararlı yazılımları çalıştırmak için başvurduğu en kolay yollardan bir tanesi.
Microsoft buna karşılık OLE nesnesi olarak yerleştirilebilecek dosya uzantılarını sınırladı. Ancak “SettingContent-ms” yeni bir dosya türü olduğu için ofis paketindeki OLE kara listesi içinde yer almıyor. Yani bu da zararlı yazılım çalıştırmak isteyenlerin kolaylıkla ofis dosyalarını bu amaç için kullanabilmesini sağlıyor.
Windows 10’da opsiyonel olarak Attack Surface Reduction (ASR) adı verilen yeni bir güvenlik önlemi kullanılıyor. ASR, çeşitli güvenlik kurallarının bir araya gelmesi ile oluşturuluyor. ASR’nin özelliklerinden birisi de ofis belgelerinin içinden yeni işlemlerin başlatılmasını engellemesi. Böylelikle OLE nesnelerinin zararlı yazılım yayması engelleniyordu. Büyük şirketlerde de sistem yöneticileri bu yüzden ASR’yi aktif hale getiriyordu.
Araştırmacılar bu yöntemin ASR güvenlik önlemlerini de aştığını belirtiyor. Öncelikle ASR’nin beyaz listesinde bulunan bir ofis uygulaması başlatılıp ardından da saldırı yönteminde kullanılan işlem başlatılırsa ilk işlem gerçekleştiği için diğeri de gerçekleşiyor. Bu yöntemi kullanarak zararlı yazılıp geliştiricileri güvenlik açısından en güçlendirilmiş Windows 10 bilgisayarları bile hedef haline getirebiliyor.
Araştırmacılar, Microsoft ile de iletişime geçtiklerini ancak şirketin bunu bir güvenlik açığı olarak kabul etmediğini belirtiyor. Yakın zamanda bu dosya formatı türünün de OLE kara listesine alınması bekleniyor. Kullanıcıların alabileceği tek önlem ise bilinmeyen dosyaları çalıştırmamak.
