Microsoft Defender: Virgülle algılamayı önleyin

Microsoft Defender, kötü amaçlı kodların çalıştırılmasına izin veren bir güvenlik bileşenine sahiptir rundll32.exe tespit edip önlemek. Geçen hafta bir bilgisayar araştırmacısı, bu mekanizmayı alt etmenin şu anda kolay olduğunu duyurdu.

Duyuru

Bir güvenlik notunda John Page, 2022’de kötü amaçlı yazılımların çalıştırılmasına karşı korumanın şu andan itibaren sağlanabileceğini zaten gösterdiğini açıklıyor: rundll32.exe atlama izni. Kötü amaçlı yazılımların harici kaynaklardan nasıl bulaştırılabileceğini gösterir. mshtml Aradığın zaman rundll32.exe sözde yol geçişi kötüye kullanılıyor, bu özel durumda başka bir “..“.

Örnekte kapalıydı rundll32.exe javascript:"....mshtml,RunHTMLApplication ";alert(1)Windows Defender tarafından bir hata mesajı ve uyarıyla tanınan, basit rundll32.exe javascript:"......mshtml,RunHTMLApplication ";alert(666), yönetim komut satırında çalıştırıldı. Reklam yerine alert Javascript deyimi ile yapılabilir GetObject Kötü amaçlı kodları harici kaynaklardan indirin.

Görünüşe göre Microsoft bu arada bunu engelledi ve yol uzantısına sahip değişken de bir hata mesajı oluşturuyor. Dosyanın arkasına kötü niyetli bir aktör ekler mshtml-Ek bir virgülle bakın, Microsoft Defender koruması tekrar kandırılabilir ve girilen kod çalıştırılır: rundll32.exe javascript:"....mshtml,,RunHTMLApplication ";alert(666) “666” karakter dizisini içeren alarm iletişim kutusunu görüntüler.

Microsoft Defender artık eski 2022 saldırı varyantını engelliyor.

(Resim: ekran görüntüsü / dmk)

Güvenlik açığı, BSI CERT-Bund tarafından orta derecede şiddetli olarak sınıflandırıldı ve ön CVSS derecelendirmesi şuydu: 5.3. Ancak böyle bir boşluk, saldırganların sistemde yer edinmesine veya daha fazla yayılmasına olanak tanıyor. Microsoft’un halihazırda bu güvenlik açığından haberdar olup olmadığı sorusunun yanıtı, hataya yönelik bir düzeltme üzerinde çalışıyor ve bunun ne zaman beklenebileceği ise şu anda beklemede.

Microsoft, Defender Anti-Malware’i giderek daha fazla koruma mekanizmasıyla donatıyor. Fidye yazılımı saldırıları gibi insan kontrollü saldırıları otomatik olarak tespit edip engelleyebilecek yapay zeka desteği geçen yılın sonlarında eklendi.


(Bilmiyorum)

Haberin Sonu

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir