Microsoft, Windows 10 sürüm 1709 (Fall Creators Güncellemesi) ile tarayıcıdan uygulama yüklemeye yönelik bir basitleştirme sunduğundan beri, kötü amaçlı yazılım bulaşma riski arttı. CVE’lerdeki ilk girişler 2021’in sonunda bulundu ve şu anda güncellendi. Uygulama Yükleyiciye yapılan güncellemelerle (sürüm 1.21.3421.0’dan itibaren) Microsoft, basitleştirmeyi kapattı ve bunu 28 Aralık’ta duyurdu. arka planda çok detaylı.
Duyuru
Saldırılar, uygulamaların doğrudan bir web sitesinden yüklenmesine olanak tanıyan teknolojiden yararlanıyor. İndirilen kurulum paketlerini doğrudan Windows’taki uygulama yükleyicisine sağlar. Microsoft, güncellemelerle “ms-appinstaller URI” (Tekdüzen Kaynak Tanımlayıcısı) işleyicisini devre dışı bırakarak bu bağlantının çözülmesini sağlar.
Windows daha sonra önceden beklenen davranışına geri döner: Kullanıcıdan birkaç kez uygulamanın kurulumunu onaylaması istenir. Basitleştirilmiş süreçle, indirme ve kurulum başlamadan önce kullanıcıya uygulama hakkında yalnızca kısa bilgiler gösterildi. Onay yeterliydi. Basitleştirilmiş süreç, Windows’ta bulunan ve kötü amaçlı yazılım bulaşmalarına karşı sizi uyarabilecek yaygın tarayıcılarda bulunan akıllı tarama tekniklerini atlar.
Microsoft’un bahsettiği sahte paket örnekleri aslında yayıncı tarafından da fark edilebiliyor…
(Resim: Microsoft)
Microsoft’a göre bazı ticari gruplar, Kasım ortasından bu yana kullanıcılara kötü amaçlı kod göndermek için doğrudan kurulumu kullanıyor. Hatta bu tür saldırılar için hazır kitlerin bile olduğu söyleniyor. Saldırganlar, PDF görüntüleyiciler veya geçerli olduğu kabul edilen ancak muhtemelen çalınmış sertifikalarla imzalanmış video konferans yazılımı gibi yaygın yazılımlar için paketleri yeniden oluşturdu. Suçlular, paketlerini manipüle edilmiş web arama sonuçlarını kullanarak dağıttılar.
Uygulama yükleyici sürümü bir Powershell çağrısıyla belirlenebilir: (Get-AppxPackage Microsoft.DesktopAppInstaller).Version. En az 1.21.3421.0 olmalıdır. İşletmeler ayrıca uygulama yükleyici davranışını grup politikaları aracılığıyla da kontrol edebilir. Microsoft bu konuda ayrıntılı bilgi sağlıyor.
(ps)
Haberin Sonu
Duyuru
Saldırılar, uygulamaların doğrudan bir web sitesinden yüklenmesine olanak tanıyan teknolojiden yararlanıyor. İndirilen kurulum paketlerini doğrudan Windows’taki uygulama yükleyicisine sağlar. Microsoft, güncellemelerle “ms-appinstaller URI” (Tekdüzen Kaynak Tanımlayıcısı) işleyicisini devre dışı bırakarak bu bağlantının çözülmesini sağlar.
Windows daha sonra önceden beklenen davranışına geri döner: Kullanıcıdan birkaç kez uygulamanın kurulumunu onaylaması istenir. Basitleştirilmiş süreçle, indirme ve kurulum başlamadan önce kullanıcıya uygulama hakkında yalnızca kısa bilgiler gösterildi. Onay yeterliydi. Basitleştirilmiş süreç, Windows’ta bulunan ve kötü amaçlı yazılım bulaşmalarına karşı sizi uyarabilecek yaygın tarayıcılarda bulunan akıllı tarama tekniklerini atlar.
Microsoft’un bahsettiği sahte paket örnekleri aslında yayıncı tarafından da fark edilebiliyor…
(Resim: Microsoft)
Microsoft’a göre bazı ticari gruplar, Kasım ortasından bu yana kullanıcılara kötü amaçlı kod göndermek için doğrudan kurulumu kullanıyor. Hatta bu tür saldırılar için hazır kitlerin bile olduğu söyleniyor. Saldırganlar, PDF görüntüleyiciler veya geçerli olduğu kabul edilen ancak muhtemelen çalınmış sertifikalarla imzalanmış video konferans yazılımı gibi yaygın yazılımlar için paketleri yeniden oluşturdu. Suçlular, paketlerini manipüle edilmiş web arama sonuçlarını kullanarak dağıttılar.
Uygulama yükleyici sürümü bir Powershell çağrısıyla belirlenebilir: (Get-AppxPackage Microsoft.DesktopAppInstaller).Version. En az 1.21.3421.0 olmalıdır. İşletmeler ayrıca uygulama yükleyici davranışını grup politikaları aracılığıyla da kontrol edebilir. Microsoft bu konuda ayrıntılı bilgi sağlıyor.
(ps)
Haberin Sonu