Windows 7 Beta "UAC" Zararlı Yazılımlara Karşı Korunaksız

[Marko Paşa]

Windows 7 Beta’da inanılmaz bir açık keşfedildi. Hem de her program açılışında uyarı vererek kullanıcıların önemli bir bölümünün Vista’dan uzaklaşmasına sebep olan Kullanıcı Hesapları Denetimi’nde (UAC)! Temelde görevi sistemi zararlı yazılımlardan korumak olan bir hizmetin kendisinin önemli bir açığının bulunması gayet garip bir durum. İlgili zararlı yazılım bir Visual Basic kodu vasıtasıyla sahte tuşlamalar gerçekleştirerek UAC uyarı ekranını açıyor. Sonra da kaydırma çubuğunu devre dışı konumuna getirerek değişiklikleri kaydediyor. Bu aşamadan sonraysa program korumalı işlevlere erişiyor veya açılışta tam erişim elde etmek amacıyla sistemi bile yeniden başlatabiliyor.

Aslına bakmak gerekirse bu güvenlik açığı bilgisayarlar ilk çıktığından beri kullanılıyor. Eski DOS günlerini hatırlayın, bir TSR (terminate and stay resident) programı sistemden BIOS işlevlerini çağırarak şifre giriş ekranının ortaya çıkmasını bekliyor ve sahte tuşlamalar gönderen 16h komutlarını uygulamaya başlıyordu. Evet, buna kullanıcı tuşlamalarını taklit etmek de denebilir ve işin daha da ilginci Sidekick gibi DOS programları DOS işletim sistemine kopyala-yapıştır benzeri işlevler katmak amacıyla aynı yöntemi kullanırdı.

Yıllar boyunca benzer teknikler daha sonraları piyasaya sürülen diğer işletim sistemlerinin güvenliğini delmek amacıyla kullanıldı. Böyle programlar tekrar tekrar farklı şifre kombinasyonlarını uyguluyorlar. Sistem tasarımcıları uzun yıllardan beri bu açığın farkındaydılar ve buna karşı “üç saldırı ve sonra def et” politikasını geliştirdiler. Fakat bugün görüyoruz ki Microsoft daha çıkmamış yeni işletim sistemi, Windows 7’yi ele geçirmek için bu artık antika olmuş yöntemlere bile ihtiyaç yok.

Windows içerisinde ileti tabanlı bir iletişim sistemi barındırıyor. Bir kullanıcı klavyedeki bir düğmeye bastığı zaman klavye denetleyicisi hangi düğmeye basıldığını belirler ve anakarta bir sinyal gönderir. Bunun üzerine işlemci o an üzerinde uğraştığı işi bırakır ve tuşlama sinyallerini işlemeye koyulur. İşlemcinin üzerindeki yazılım bu sinyalleri kendi algoritması dahiline alır. Fakat zararlı yazılım bu tuşlama iletisini değiştirerek ilgili yazılıma gönderir.

Bu yeni keşfedilmiş açık temelde bir açık değil aslında. DOS ortamında çalışan SendKeys işlevi gibi çalışıyor. Bir pencere ne zaman SendKeys’den komut alırsa, program tuşlamaların gerçekten kullanıcı tarafından yapılmış olduğunu kabul eder. Tuşlamaların gerçekliği program tarafından araştırılmıyor.

Sonuç olarak zararlı yazılımın gönderdiği tuşlama komutlarını kullanan Windows 7 Beta UAC’ı etkinleştirebilir, kaydırma çubuğunu “iletileri devre dışı bırak” (disable messages) konumuna getirebilir, uyarı penceresini kapatabilir ve sonra da arka planda ne yapmak isterse yapar. Kullanıcı zararlı bir yazılımı tıkladığı zaman, arkada dönen dolapları ruhu bile duymaz çünkü UAC hizmetinin çıkardığı uyarılar etkisiz kılınmıştır.

İlgili zararlı yazılımın (malware) kodlarını görmek ve uzmanların sunduğu çözüm yöntemlerini okumak için WithinWindows.com sitesini ziyaret edebilirsiniz. Bu arada açığı keşfeden kişi bahsettiğimiz VBScript kodlarını yazmış (ilgili yazıyı görmek ve kodları kendi bilgisayarınızda denemek için Tıklayın