Bazı güvenlik şirketleri ve dış araştırmacılar, Microsoft tarafından imzalanan bir sürücünün şifrelenmiş bağlantıları korsanların kontrolü altında olan sunucuya yönlendirdiğini açıkladı. Üstelik bu bağlantıların şifresini de çözen sürücünün Rootkit olduğu belirlendi. Microsoft, Rootkit entegre edilmiş sürücüyü sertifikalandırarak ciddi ölçüde güvenlik zafiyeti oluşturmuş durumda. Zira kötü amaçlı bu yazılım, herhangi bir güvenlik uyarısı ile karşılaşılmadan kullanıcıların bilgisayarına yüklenebiliyor.
Microsoft, yaklaşık 13 yıldır kararlılığı ve güvenliği sağlamak amacıyla işletim sistemlerinin çekirdeğinde çalışan üçüncü taraf sürücüleri ve diğer kod bütünlerini test edip imzalandıktan sonra kullanıma açıyordu. Çekirdek seviyesinde çalışmaya ihtiyaç duyan yazılımlar, dijital şekilde sertifikalandırılmadan kullanıcıların bilgisayarlarına kesinlikle yüklenemiyor. Buradaki kilit nokta Microsoft’un yazılımları doğru ölçütlerle inceleyip güvenli olup olmadıklarını tescil etmesi.
Yeni ortaya çıkan bu olaya geri dönecek olursak; Haziran ayının başında güvenlik şirketi G Data’da araştırmacı olan Karsten Hahn, şirketin kötü amaçlı yazılım tespit sisteminin Netfilter adlı bir sürücüyü işaretlediğini fark etti. Microsoft, Windows Donanım Uyumluluk Programı kapsamında Netfilter isimli sürücüyü doğruladığı için Karsten Hahn, ilk başta kötü amaçlı yazılım tespit sisteminin yaptığı bu algılamayı hatalı varsaydı. Ancak daha sonra gerçekleştirilen kapsamlı testlerde tespitin yanlış olmadığı anlaşıldı. Ekip, diğer araştırmacıların da bu konuya dahil olmasıyla birlikte Netfilter’in bilgisayarlarda ne işlem yaptığını incelemeye başladı.
Tersine Mühendislik alanında çalışmalarını sürdüren Johann Aydınbas, Twitter’da Netfilter’in SSL bağlantılarını gizlice izlediğini ve IP adreslerini yeniden yönlendirme bileşenini kullandığını belirtti. Ayrıca Windows Kayıt Defteri kök iznine sahip sertifika yüklediği de ortaya çıktı ki en tehlikeli kısım da burası. Çünkü kayıt defterine yüklenen kök sertifikası şifrelenmiş site bağlantıları çözebiliyor.
Rootkit; dosya dizinlerinde, görev izleyicilerinde ve diğer standart işletim sistemi işlevlerinde görüntülenmesini önleyecek şekilde yazılmış kötü amaçlı bir yazılım olarak karşımıza çıkıyor. Bu yazılımı diğerlerinden ayıran en önemli özelliği ise işletim sistemi üzerinde çok yüksek erişim hakkıyla çalışması. Olayda yer alan Rootkit ise internet üzerindeki sitelere bağlanırken Aktarım Katmanı Güvenliği (TLS) olarak bilinen şifrelenmiş protokolü atlatmak için kök sertifikalarını direkt olarak Windows’un kendisine yüklüyor. Sitelere bağlanırken aktarılan verilerin şifrelenmesi bu şekilde kaldırılmış oluyor ve kullanıcının ulaşmak istediği TLS trafiği kötü amaçlı bir sunucu adresine yönlendirilebiliyor. Haliyle kullanıcının hangi sitelere girdiği ve bu sitelerden hangi verileri indirip yüklediği sunucuda depolanıyor. Arka planda olanların farkına varmak da oldukça zor.
Şirketin geçen Cuma günü yayınladığı kısa bir gönderide, “Microsoft, oyun ortamlarında kötü niyetli sürücüler dağıtan bir aktörü araştırıyor. Kişi, bahsedilen sürücüyü Windows Donanım Uyumluluk Programı aracılığıyla dijital imza için ilgili birimimize gönderdi. Bu sürücü üçüncü şahıs tarafından kodlanmış. Kişinin sürücüyü bize gönderdiği hesabı askıya aldık ve kötü amaçlı yazılım hakkında geri bildirimleri inceledik.”
Microsoft ayrıca Netfilter’ın tanımlama verilerini Windows Defender’ın Antivirus motoruna eklediğini ve bunun yanında diğer Antivirus sağlayıcılarına da tanımlama verilerini gönderdiğini belirtti. Netfilter’ın şu aşamada sadece Çin’deki oyun topluluklarında yayıldığı ve kurumsal anlamda sorun olmadığı da açıklananlar arasında. Ancak şirket, bu sürücünün Windows Donanım Uyumluluk Programı’ndan nasıl geçtiği ve nasıl imzalandığı hakkında henüz bir bilgi paylaşmadı. Konuyla alakalı düşüncelerinizi yorumlarda belirtmeyi unutmayın.