“DoubleAgent” Atağı Tüm Windows Sürümlerini Ele Geçirebiliyor ve Yaması Yok!
27.03.2017
İsrail menşeili Cybellum firması güvenlik araştırmacıları bilgisayarınızın tüm kontrolünün ele geçirilebileceği yeni bir Windows açıklığı keşfetti.
DoubleAgent adı verilen açıklık, Windows XP’den en son sürüm Windows 10’a kadar tüm Microsoft Windows işletim mistemlerini etkileyen yeni bir kod enjekte etme tekniği.
Dahası mı? DoubleAgent 15 yıllık dokümante edilmemiş bir Windows özelliği olan “Application Verifier” kullanıyor ve yama yapılabilir durumda değil.
Applicaiton Verifier çalışma sırasında işlemlere test amaçlı bağlanan, DLL (Dinamik Bağlantı Kütüphanesi) yükleme ile çalışan ve uygulama geliştiricilere hızlıca programlama hatalarını gösterip düzeltmelerine imkan veren bir araç.
Açıklık Application Verifier aracının DLL’leri nasıl yüklediği ile ilgili. Araştırmacılara göre işlemin bir parçası olarak DLL’ler hedef işleme Windows Registry girdisi üzerinden bağanıyor ve saldırganlar bu DLL’i kendi DLL’i ile değiştirebilir.
Bağlanmak istediği uygulama ile aynı isimli bir Windows Registry anahtarı oluşturup kendi DLL’ini yükleyebilen saldırgan böylece tüm sistemin kontrolünü ele geçirebilir ve zararlı faaliyetlerde bulunabilir. Arka kapılar yüklemek, zararlı yazılım yüklemek, çalışan sistem işlemlerinin yetkilerini çalmak hatta başka kullanıcının oturumunu ele geçirmek mümkün.
Güvenlik araştırmacıları atağın Antivirüs yazılımlarındaki etkisini de gösterebilmek için yükledikleri DLL ile güvenlik yazılımının disk şifreleme zararlısı olarak çalışmasını sağladı.
Çoğu AntiVirüs yazılımının DoubleAgent saldırısına açık olduğunu belirten güvenlik araştırmacıları bir de liste yayınladı:
Cybellum etkilenen tüm firmalara durumu bildirdiklerini ancak 90 gün geçmesine rağmen sadece Malwarebytes ve AVG yama yayınlamış durumda.