Yeni bir kimlik avı kampanyası, kötü amaçlı yazılım sunan uzak sunucularda barındırılan toplu iş dosyalarını bastırmak için Windows Arama Protokolünü (Search-MS URI) kötüye kullanan HTML ekleri kullanır.
Windows Arama Protokolü, uygulamaların belirli parametreleri kullanarak aramalar gerçekleştirmesi için uygulamaların Windows Gezgini'ni açmasını sağlayan tek tip bir kaynak tanımlayıcısıdır (URI).
Çoğu Windows araması yerel cihazın dizinine bakacak olsa da, Windows aramasını uzak ana bilgisayarlarda dosya paylaşımlarını sorgulamak ve arama penceresi için özel bir başlık kullanmak da mümkündür.
Saldırganlar, Dr. Martin Johns'un ilk olarak 2020 tezinde vurguladığı gibi, uzak sunuculardaki kötü amaçlı dosyaları paylaşmak için bu işlevselliği kullanabilir.
Haziran 2022'de güvenlik araştırmacıları, doğrudan kelime belgelerinden aramalar başlatmak için bir Microsoft Office kusurunu da kullanan güçlü bir saldırı zinciri tasarladılar.
TrustWave SpiderLabs araştırmacıları artık bu tekniğin, Windows aramalarını saldırganların sunucularında başlatmak için HTML ekleri kullanan tehdit aktörleri tarafından vahşi doğada kullanıldığını bildiriyor.
TrustWave raporunda açıklanan son saldırılar, küçük bir zip arşivine yerleştirilmiş bir fatura belgesi olarak gizlenmiş bir HTML ekini taşıyan kötü niyetli bir e -posta ile başlar. ZIP, kötü niyetli içerik için arşivleri ayrıştıramayabilecek güvenlik/AV tarayıcılarından kaçmaya yardımcı olur.
HTML dosyası, HTML belgesi açıldığında tarayıcının otomatik olarak kötü amaçlı bir URL açmasına neden olmak için etiketi kullanır.
Meta Yenileme Tarayıcı Ayarları veya diğer nedenlerden dolayı başarısız olursa, bir çapa etiketi, bir geri dönüş mekanizması olarak hareket eden kötü amaçlı URL'ye tıklanabilir bir bağlantı sağlar. Ancak bu, kullanıcı eylemi gerektirir.
Bu durumda, URL, Windows Arama Protokolünün aşağıdaki parametreleri kullanarak uzak bir ana bilgisayarda arama yapmasıdır:
Ardından, arama uzak sunucudan dosya listesini alır ve fatura olarak adlandırılan tek bir kısayol (LNK) dosyasını görüntüler. Mağdur dosyayı tıklarsa, aynı sunucuda barındırılan bir toplu komut dosyası (BAT) tetiklenir.
Trustwave, analizleri sırasında sunucu düştüğü için yarasanın ne yaptığını tespit edemedi, ancak riskli işlemler potansiyeli yüksek.
Bu tehdide karşı savunmak için TrustWave, aşağıdaki komutları yürüterek Search-MS/Ara URI protokolü ile ilişkili kayıt defteri girişlerinin silinmesini önerir:
Bununla birlikte, bu, bu protokole dayanan meşru uygulamaları ve entegre Windows özelliklerini de önleyeceği için bu dikkatle yapılmalıdır.
Microsoft Windows DirectAccess'ten kullanımdan kaldırır, her zaman VPN'de önerir
Microsoft, Nisan Windows güncellemelerinin neden olduğu VPN hatalarını düzeltir
Microsoft, 2021'den beri ilk Windows 10 beta yapısını duyurdu
Microsoft Haziran 2024 Patch Salı 51 Kusur, 18 RCE
Windows 11 KB5039212 Güncellemesi 37 değişiklik, düzeltmelerle yayınlandı
Kaynak: Bleeping Computer