Windows kullanıcılarını ilgilendiren yeni bir güvenlik açığı ortaya çıktı. Windows’ta bulunan ve genellikle sistem lisanslama işlemleri için kullanılan licensingdiag.exe
aracı, zararlı yazılımlar tarafından DLL saldırıları için kullanılıyor. Bu saldırı yöntemi, saldırganların lisanslı Windows’ları kullanarak zararlı DLL dosyalarını yüklemesine ve çalıştırmasına izn veriyor.
DLL yükleme (side-loading), Windows uygulamalarının DLL dosyalarını nasıl işlediğini hedef alan bir siber saldırı yöntemi. Bu saldırılarda, zararlı bir DLL dosyası Windows’un sistem klasörlerinden biri olan WinSxS dizinine yerleştirilir ve işletim sistemi bu dosyayı orijinal dosya yerine yükler. Bu zafiyet, saldırganların lisanslama aracını kullanarak kendi zararlı DLL’lerini yükleyebileceği anlamına geliyor.
Bu güvenlik açığı aşağıdaki Windows kayıt defterindeki değerden kaynaklanıyor.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LicensingDiag
path’inde bulunan bu değer hangi DLL dosyasının hangi yoldan yükleneceğini belirtiyor. Eğer bir saldırgan bu kayıt defteri girdisini değiştirmeyi başarırsa kendi zararlı DLL dosyasının yükletebiliyor.
Ancak, bu saldırıyı gerçekleştirmek için saldırganın yönetici haklarına sahip olması gerekiyor. Yine de bu açık saldırganların lisanslı Windows uygulamaları arkasına saklanarak zararlı yazılımları yüklemeleri için yeni bir yol sunuyor.
Kullanıcıların ve sistem yöneticilerinin, bu tür saldırılara karşı dikkatli olmaları ve sistemlerini düzenli olarak güncellemeleri öneriliyor.