Windows Defender’da yeni yamalanan bir açık, saldırganların imza güncelleme sürecini ele geçirerek kötü amaçlı yazılımları gizlice sokmalarına, iyi huylu dosyaları silmelerine ve hedef sistemlerde kargaşa yaratmalarına olanak tanıyor.
BLACK HAT USA – Las Vegas – 9 Ağustos Çarşamba: Microsoft’un Nisan 2023’te yamaladığı 97 CVE arasında, yetkisiz bir kullanıcının Windows Defender’ı ele geçirmesine ve hedef sistemlere zarar vermek için kullanmasına olanak tanıyan bir güvenlik özelliği atlama açığı da vardı.
Daha önce de güvenlik ürünlerinde benzer açıklar keşfeden SafeBreach araştırmacıları, antivirüs aracının güncelleme sürecini ele geçirme girişimi sırasında Windows Defender’daki sorunu ortaya çıkardı.
Güncelleme Sürecini Ele Geçirme
Araştırmanın amacı, güncelleme sürecinin bilinen kötü amaçlı yazılımları yazılımın korumak için tasarlandığı sistemlere gizlice sokmak için kullanılıp kullanılamayacağını doğrulamaktı. Araştırmacılar ayrıca Windows Defender’ın bilinen tehditlerin imzalarını silip silemeyeceğini ve daha da kötüsü iyi huylu dosyaları silip silemeyeceğini ve tehlikeye atılmış bir sistemde hizmet reddi durumunu tetikleyip tetikleyemeyeceğini doğrulamak istiyorlardı.
Araştırmacılar üç hedefe de ulaşmayı başardılar ve hatta saldırı vektörlerinin her birini uygulayan wd-pretender – Windows Defender Pretender için – olarak adlandırılan otomatik bir araç geliştirdiler. Microsoft, keşfettikleri sorun için bir CVE atadı – CVE-2023-24934 – ve Nisan ayında bunun için bir düzeltme yayınladı.
SafeBreach araştırmacıları Tomer Bar ve Omer Attias, bulgularının bir özetini Çarşamba günü Black Hat USA oturumunda “Defender Pretender: Windows Defender Güncellemeleri Bir Güvenlik Riskine Dönüştüğünde.”
Bar ve Attias, sunumlarından önce Dark Reading ile yaptıkları görüşmede, araştırmalarının 2012 yılında İran ve Orta Doğu’daki diğer ülkelerdeki kuruluşları hedef alan sofistike Flame siber casusluk kampanyasından esinlendiğini söylediler. Kampanyanın arkasındaki ulus-devlet aktörü, Windows güncelleme sürecinin ortasına kendini yerleştirmiş ve bunu daha önce virüs bulaşmış bilgisayarlara Flame kötü amaçlı yazılım aracını göndermek için kullanmıştı.
Bar, SafeBreach’in son araştırmasındaki amacın, Flame kampanyasında olduğu gibi karmaşık bir ortadaki adam saldırısı ve sahte bir sertifika olmadan benzer bir şeyi tekrarlayıp tekrarlayamayacaklarını görmek olduğunu söylüyor. Daha da önemlisi, araştırmacılar Windows Defender güncelleme sürecini ayrıcalıksız bir kullanıcı olarak ele geçirip geçiremeyeceklerini görmek istediler.
Defender Güncelleme Süreci
Bar ve Attias, Windows Defender güncelleme sürecini incelerken, imza güncellemelerinin genellikle Microsoft Protection Antimalware Front End (MPAM-FE[.]exe) adlı tek bir yürütülebilir dosyada bulunduğunu keşfetti. MPAM dosyası da iki yürütülebilir dosya ve sıkıştırılmış – ancak şifrelenmemiş – formda kötü amaçlı yazılım imzaları içeren dört ek Sanal Aygıt Meta Verisi (VDM) dosyası içeriyordu. VDM dosyaları Defender’a imza güncellemeleri göndermek için birlikte çalışıyordu.
Araştırmacılar, VDM dosyalarından ikisinin yaklaşık 2,5 milyon kötü amaçlı yazılım imzası içeren büyük boyutlu “Base” dosyaları olduğunu, diğer ikisinin ise daha küçük boyutlu ancak daha karmaşık “Delta” dosyaları olduğunu keşfetti. Temel dosyanın Defender’ın güncelleme işlemi sırasında kötü amaçlı yazılım imzaları için kontrol ettiği ana dosya olduğunu, daha küçük Delta dosyasının ise Temel dosyada yapılması gereken değişiklikleri tanımladığını belirlediler.
Başlangıçta Bar ve Attias, MPAM dosyasındaki yürütülebilir dosyaların birini kendi dosyalarıyla değiştirerek Defender güncelleme sürecini ele geçirip geçiremeyeceklerini görmeye çalıştılar. Bar, Defender’ın dosyanın Microsoft imzalı olmadığını hemen fark ettiğini ve güncelleme işlemini durdurduğunu söylüyor.
İmzalı Dosyaların Kurcalanması
Araştırmacılar daha sonra Microsoft imzalı VDM dosyalarını kurcalayarak Defender güncelleme sürecini ele geçirip geçiremeyeceklerini görmeye karar verdiler.
Dosyaları analiz ederken, kötü amaçlı yazılım adlarını ve bunlarla ilişkili imzaları ve dizelerin nerede başlayıp nerede bittiğini kolayca belirleyebildiler. İki araştırmacı, Windows Defender imzalarının Base ve Delta dosyalarındaki verilerin birleştirilmesinin bir sonucu olduğunu buldu. Defender’ın dosyalardaki verilerin birleştirme işlemi sırasında veya öncesinde değişmediğinden emin olmak için bir doğrulama süreci kullandığını tespit ettiler ve Defender’ın doğrulama amacıyla kullandığı iki özel sayı belirlediler. Bar, değiştirilmiş bir VDM dosya sürümü kullanarak güncelleme sürecini ele geçirmek için bu bilgileri kullanabildiğini söylüyor.
Bar, kavramın kanıtı olarak VDM dosyalarında değişiklik yapabildiğini, böylece Defender’ın Conti fidye yazılımı ve Mimikatz gibi tehditleri, her iki tehdidi de tespit etmek için imzaları olmasına rağmen tespit edemediğini söylüyor. Defender imza veritabanından belirli bir kötü amaçlı yazılım tehdidinin adını silerek Defender’ın tehdidi tespit etmemesini sağlayabildiler.
Benzer şekilde araştırmacılar, Defender kullanıcılarının iyi huylu dosyaları tanımlamak için kullandıkları bir izin listesi olan “FriendlyFiles” olarak etiketleyerek kötü amaçlı dosyaları bir sisteme kolayca sokabileceklerini keşfettiler. Kanıt olarak, FriendlyFiles listesindeki bir hash’i Mimikatz hash’i ile değiştirerek Mimikatz’ı bir sisteme nasıl gizlice sokabileceklerini gösterdiler. Bar ayrıca Windows Defender’ı sistemdeki tüm taşınabilir yürütülebilir dosyaların Emotet kötü amaçlı yazılımı olduğunu düşünmesi için kandırarak bir test makinesinde hizmet reddi durumunu tetikleyebildiğini söylüyor. Araştırmacılar saldırıyı öyle bir hale getirdiler ki Defender ne zaman “Bu program dos modunda çalıştırılamaz” dizesiyle karşılaşsa – ki bu hemen hemen her modern uygulama için geçerli bir durum – Defender bunları otomatik olarak siliyordu. Tomer, sonuçta test sisteminin tamamen hizmet dışı bırakıldığını söylüyor.
Daha önce SafeBreach’ten başka bir araştırmacı, yalnızca yetkisiz bir kullanıcının izinlerine sahip bir saldırganın, bir sistemdeki herhangi bir dosyayı silmek için birkaç yaygın uç nokta algılama ve yanıt sistemini nasıl manipüle edebileceğini göstermişti. Bar’a göre kurumlar için önemli bir çıkarım, motive olmuş saldırganların her zaman tipik olarak güvenilir güvenlik teknolojilerini bile atlatmanın yollarını bulabilecekleridir.
Microsoft güncelleme işlemi sırasında dijital olarak imzalanmış dosyalar kullanırken, Windows Defender güvenlik açığı, doğrulama kontrollerinin bu imzalı dosyalarda daha sonra yapılan değişiklikleri tespit edemediği anlamına geliyordu, diyor. İmza güncelleme süreçlerinin yeni bir saldırı vektörü olarak istismar edilme potansiyeline bağlı olarak, bu sürecin güvenliğini sağlamak için daha fazla araştırmaya ihtiyaç vardır.