Microsoft, sürüm 1709’da (Fall Creators Güncellemesi) Windows 10 ile tarayıcıdan uygulama yüklemeye yönelik bir basitleştirme sunduğundan beri, kötü amaçlı yazılım bulaşması riski arttı. CVE’lerdeki ilk girişler 2021’in sonunda bulunabilir ve şu anda güncellenmiştir. Uygulama yükleyicisine yönelik güncellemelerle (sürüm 1.21.3421.0’dan itibaren) Microsoft, basitleştirmeyi kullanımdan kaldırdı ve 28 Aralık’ta duyurdu. arka plan hakkında çok detaylı.
Reklamcılık
Saldırılar, uygulamaların doğrudan bir web sitesinden yüklenmesine olanak tanıyan bir teknolojiden yararlanıyor. İndirilen kurulum paketlerini doğrudan Windows’taki uygulama yükleyicisine besler. Microsoft, güncellemelerle birlikte “ms-appinstaller URI” (Tekdüzen Kaynak Tanımlayıcısı) işleyicisini devre dışı bırakarak bu bağlantının çözülmesini sağlar.
Windows daha sonra önceden amaçlanan davranışa geri döner: Kullanıcıdan uygulama kurulumunu onaylaması birkaç kez istenir. Basitleştirilmiş prosedürle, indirme ve kurulum başlamadan önce kullanıcıya uygulama hakkında yalnızca kısa bir bilgi gösterildi. Bir onay yeterliydi. Basitleştirilmiş süreç, Windows’taki ve kötü amaçlı yazılım bulaşmalarına karşı uyarı verebilecek yaygın tarayıcılardaki akıllı tarama tekniklerini atlar.
Microsoft’un bahsettiği sahte paket örnekleri aslında yayıncı tarafından da fark edilebiliyor…
(Resim: Microsoft)
Microsoft’a göre bazı ticari çeteler, Kasım ortasından bu yana kullanıcılara kötü amaçlı kod aktarmak için doğrudan kurulumu kullanıyor. Hatta bu tür saldırılar için hazır kitlerin olduğu bile söyleniyor. Saldırganlar, PDF görüntüleyiciler veya video konferans yazılımı gibi yaygın olarak kullanılan yazılımlara yönelik, geçerli olduğu kabul edilen ancak muhtemelen çalınan sertifikalarla imzalanmış paketleri yeniden oluşturdu. Suçlular, paketlerini manipüle edilmiş web arama sonuçlarını kullanarak dağıttılar.
Uygulama yükleyicisinin sürümü bir Powershell çağrısıyla belirlenebilir: (Get-AppxPackage Microsoft.DesktopAppInstaller).Version. En az 1.21.3421.0 olmalıdır. Şirketler ayrıca uygulama yükleyicisinin davranışını grup politikaları aracılığıyla da kontrol edebilir. Microsoft bu konuda ayrıntılı bilgi sağlıyor.
(ps)
Haberin Sonu
Reklamcılık
Saldırılar, uygulamaların doğrudan bir web sitesinden yüklenmesine olanak tanıyan bir teknolojiden yararlanıyor. İndirilen kurulum paketlerini doğrudan Windows’taki uygulama yükleyicisine besler. Microsoft, güncellemelerle birlikte “ms-appinstaller URI” (Tekdüzen Kaynak Tanımlayıcısı) işleyicisini devre dışı bırakarak bu bağlantının çözülmesini sağlar.
Windows daha sonra önceden amaçlanan davranışa geri döner: Kullanıcıdan uygulama kurulumunu onaylaması birkaç kez istenir. Basitleştirilmiş prosedürle, indirme ve kurulum başlamadan önce kullanıcıya uygulama hakkında yalnızca kısa bir bilgi gösterildi. Bir onay yeterliydi. Basitleştirilmiş süreç, Windows’taki ve kötü amaçlı yazılım bulaşmalarına karşı uyarı verebilecek yaygın tarayıcılardaki akıllı tarama tekniklerini atlar.
Microsoft’un bahsettiği sahte paket örnekleri aslında yayıncı tarafından da fark edilebiliyor…
(Resim: Microsoft)
Microsoft’a göre bazı ticari çeteler, Kasım ortasından bu yana kullanıcılara kötü amaçlı kod aktarmak için doğrudan kurulumu kullanıyor. Hatta bu tür saldırılar için hazır kitlerin olduğu bile söyleniyor. Saldırganlar, PDF görüntüleyiciler veya video konferans yazılımı gibi yaygın olarak kullanılan yazılımlara yönelik, geçerli olduğu kabul edilen ancak muhtemelen çalınan sertifikalarla imzalanmış paketleri yeniden oluşturdu. Suçlular, paketlerini manipüle edilmiş web arama sonuçlarını kullanarak dağıttılar.
Uygulama yükleyicisinin sürümü bir Powershell çağrısıyla belirlenebilir: (Get-AppxPackage Microsoft.DesktopAppInstaller).Version. En az 1.21.3421.0 olmalıdır. Şirketler ayrıca uygulama yükleyicisinin davranışını grup politikaları aracılığıyla da kontrol edebilir. Microsoft bu konuda ayrıntılı bilgi sağlıyor.
(ps)
Haberin Sonu