![Bilgisayar korsanları, kötü amaçlı yazılım çekirdeğine erişim sağlamak için açık Windows boşluğundan yararlanır](https://cdn.arstechnica.net/wp-content/uploads/2022/10/microsoft-windows-800x534.jpg)
Getty Resimleri
Bilgisayar korsanları, Windows tabanlı kötü amaçlı yazılımlarının Microsoft’un bu tür bulaşmaların oluşmasını önlemek için koyduğu kısıtlamaları atlamasına izin vermek için video oyunu dolandırıcıları arasında popüler olan açık kaynaklı yazılımları kullanıyor.
Yazılım, GitHub’da bulunan iki yazılım aracı biçiminde gelir. Dolandırıcılar, video oyunlarını oyuncuya haksız avantaj sağlayacak şekilde değiştirebilmek için kötü amaçlı sistem sürücülerini dijital olarak imzalamak için bunları kullanır. Sürücüler, hile kodunun işletim sisteminin en kritik ve hassas işlevler için ayrılmış güçlendirilmiş katmanı olan Windows çekirdeği içinde çalışması için gereken önemli engeli ortadan kaldırır.
Cisco’nun Talos güvenlik ekibinden araştırmacılar Salı günü, birden fazla Çince konuşan tehdit grubunun araçları yeniden amaçladığını söyledi; birinin adı HookSignTool, diğeri ise FuckCertVerifyTimeValidity. Çekirdeğe erişimi hile yapmak için kullanmak yerine, tehdit aktörleri bunu kötü amaçlı yazılım yeteneklerine başka türlü sahip olamayacakları şekilde vermek için kullanır.
Windows sürücü kısıtlamalarını atlamanın yeni bir yolu
Araştırmacılar, “Araştırmamız sırasında, bu kötü amaçlı sürücüleri dağıtmak için sırasıyla 2019 ve 2018’den beri halka açık olan HookSignTool ve FuckCertVerifyTimeValidity imza zaman damgası sahtecilik araçlarından yararlanan tehdit aktörlerini belirledik” diye yazdı. “Oyun hilesi geliştirme topluluğu içinde popülerlik kazanmış olsalar da, bu araçların oyun hileleriyle ilgisi olmayan kötü amaçlı Windows sürücülerinde kullanıldığını gözlemledik.”
Windows Vista’nın piyasaya sürülmesiyle Microsoft, çekirdek modunda çalışabilen sistem sürücülerinin yüklenmesine ilişkin katı yeni kısıtlamalar getirdi. Sürücüler, cihazların virüsten koruma yazılımı, yazıcılar ve diğer tür yazılım ve çevre birimleriyle çalışması için kritik öneme sahiptir, ancak bilgisayar korsanlarının kötü amaçlı yazılımları çekirdek modunda çalıştırmaları için uzun süredir uygun bir yol olmuştur. Bu saldırılar, bilgisayar korsanları tarafından istismardan sonra, yani hedeflenen bir makinede zaten yönetici ayrıcalıkları kazandıktan sonra kullanılabilir.
Bu tür ayrıcalıklara sahip olan saldırganlar parolaları çalabilir ve diğer özgürlükleri alabilirken, kötü amaçlı yazılımlarının çok sayıda daha gelişmiş görevi gerçekleştirmek için genellikle Windows çekirdeğinde çalışması gerekir. Vista ile uygulamaya konan ilke uyarınca, bu tür tüm sürücüler yalnızca Microsoft tarafından önceden onaylandıktan ve ardından güvenli olduklarını doğrulamak için güvenilir bir sertifika yetkilisi tarafından dijital olarak imzalandıktan sonra yüklenebilir.
Yönetici ayrıcalıklarına sahip kötü amaçlı yazılım geliştiricileri, sürücü kısıtlamalarını kolayca aşmanın iyi bilinen bir yoluna zaten sahipti. Teknik, “kendi savunmasız sürücünüzü getirin” olarak bilinir. Halihazırda imzalanmış ve daha sonra sistemin ele geçirilmesine izin veren bir güvenlik açığı içerdiği anlaşılan, halka açık bir üçüncü taraf sürücüsünü yükleyerek çalışır. Bilgisayar korsanları, sürücü sonrası istismarı yükler ve ardından kötü amaçlı yazılımlarını Windows çekirdeğine enjekte etmek için sürücü güvenlik açığından yararlanır.
Teknik on yıldan fazla bir süredir var olmasına rağmen, Microsoft henüz çalışan savunmalar geliştirmedi ve yöneticilerinden birinin Windows’un buna karşı savunmadaki etkinliğini alenen övmesine rağmen tehdidi hafifletmek için henüz eyleme geçirilebilir bir rehberlik sağlamadı.
Talos’un keşfettiği teknik, Windows sürücü kısıtlamalarını aşmanın yeni bir yolunu temsil ediyor. Microsoft tarafından güvenlik açısından incelenmemiş olsalar bile eski sürücülerde büyükbabaların kullandığı ilkenin başlangıcından bu yana var olan bir boşluktan yararlanır. Eski yazılımların Windows sistemlerinde çalışabilmesini sağlamak için tasarlanan istisna, bir sürücü 29 Temmuz 2015’ten önce Windows tarafından güvenilen bir sertifika yetkilisi tarafından imzalandığında tetiklenir.
Salı günkü Talos gönderisinde, “Bir sürücü bu şekilde başarıyla imzalanırsa, yüklenmesi ve hizmet olarak başlatılması engellenmeyecektir.” Sonuç olarak, bu açıktan yararlanmak için birden fazla açık kaynak aracı geliştirildi. Bu bilinen bir tekniktir, ancak Windows sistemleri için ciddi bir tehdit oluşturmasına ve kısmen araçların halka açık olması nedeniyle gerçekleştirilmesi nispeten kolay olmasına rağmen genellikle gözden kaçmaktadır.