Windows düzenleyicisinde Microsoft, Şubat Patchday Markdown işleminde Windows güncellemeleriyle bir güvenlik açığını kapattı. Saldırganlar veri sızıntısı yoluyla kötü amaçlı kod enjekte edebilir. Artık daha ayrıntılı bilgiye, saldırıları önlemek için yöneticilere filtreleme kuralları şeklinde yardım da sağlayan Trend Micro'nun Sıfır Gün Girişimi'nden (ZDI) ulaşılabilir.
Duyurudan sonra devamını okuyun
Bilgisayar araştırmacıları, ZDI blogunda Windows editöründeki komuta kaçakçılığındaki boşluğun analizini yayınladı. Orada, güvenlik açığının Markdown dosyalarını işlerken Windows düzenleyicisinde (notepad.exe) ortaya çıktığını ve yetersiz bağlantı filtrelemeye dayandığını açıklıyorlar. Saldırganlar, potansiyel kurbanları kötü amaçlı bir dosyayı indirmeleri, açmaları ve içinde hazırlanmış bir bağlantıya tıklamaları için kandırarak bu güvenlik açığından yararlanabilir. Başarılı bir saldırı, kurbanın hesabı bağlamında keyfi komutların yürütülmesine neden olabilir (CVE-2026-20841, CVSS) 7.8risk”yüksekAncak henüz aktif istismarlara dair bir kanıt yok.
Varsayılan metin düzenleyicideki güvenlik açığı
ZDI çalışanları, yakın zamana kadar standart Windows editörü notepad.exe'nin yalnızca temel düzenleme işlevlerini içerdiğini açıklıyor. Ancak Windows'un modern sürümleri, varsayılan olarak düzenleyicinin geliştirilmiş ve genişletilmiş bir sürümüyle birlikte gelir. Yeni sürüm daha fazla dosya formatını, Markdown açıklamalarını ve Copilot işlevini destekler. Markdown, metinlerin biçimlendirilmesine ve diğer şeylerin yanı sıra, örneğin forma bağlantıların eklenmesine olanak tanır [link-name](link/path). Trend Micro araştırmacıları analizlerinde kod düzeyine kadar işlemenin zayıflığını vurguluyor.
Markdown işlemi sırasında editör, bağlantı tıklamalarına yanıt verebilir. Bağlantı değerlerini filtreler ve bunları sistem çağrısına iletir ShellExecuteExW() daha öte. Ancak bu filtreleme yeterli değildir; “file://” veya “ms-appinstaller://” gibi protokol URI'lerinin kullanılmasına izin verir. Bu, geri aramanıza olanak tanır ShellExecuteExW() kurban bağlamında rastgele dosyaları çalıştırmaya başlayın. Sistem yapılandırmanıza bağlı olarak diğer protokol işleyicileri bu şekilde kötüye kullanılabilir.
Saldırıları tespit edin ve bunlara karşı savunun
Bilgisayar araştırmacıları bu nedenle belirli bağlantı noktalarındaki trafiğin daha dikkatli incelenmesini ve filtrelenmesini önermektedir: FTP (bağlantı noktası 20 ve 21/TCP), HTTP (bağlantı noktası 80/TCP), HTTPS (bağlantı noktası 443/TCP), IMAP (bağlantı noktası 143/TCP), NFS (bağlantı noktası 111/UDP+TCP, 2049/UDP+TCP), POP3 (bağlantı noktası 110/TCP), SMTP (bağlantı noktası) 25+587/TCP) ve SMB/CIFS (bağlantı noktaları 139+445/TCP). .md dosya uzantılı Markdown dosyalarının trafiği incelenmelidir. Bu tür dosyalar tespit edilirse ZDI, içeriğin “file:” veya “ms-appinstaller:” gibi dizeler içeren bağlantılar açısından taranmasını önerir. Bunlar dahil edilirse, BT araştırmacıları ayrıca İnternet'teki içeriğe yapılan referansları takip etmek için kullanılabilecek düzenli ifadeler de sağlar: (x3C|[[^x5d]+]()file:(x2f|x5cx5c){4} dosya için: ayrıca URI işleyicisi (x3C|[[^x5d]+]()ms-appinstaller:(x2f|x5cx5c){2} ms-appinstaller için: URI işleyicisi. Bu kuralları içeren isabetler kötü amaçlı olarak değerlendirilmelidir.
Duyurudan sonra devamını okuyun
Güvenlik açıklarından etkilenen yalnızca Windows düzenleyicisi değildir. Popüler metin editörü Notepad++ yakın zamanda bir güvenlik güncellemesiyle kod kaçakçılığındaki boşluğu doldurdu.
(Bilmiyorum)
Bir yanıt yazın