Windows Duvar Kağıdı ile Account Hijacking Yapılabilir mi?
Windows Duvar Kağıdı ile Account Hijacking Yapılabilir mi?
Bir güvenlik araştırmacısı, Windows tema dosyalarını
kullanan bir kimlik bilgisi toplamaya yarayan yeni bir yöntem ortaya çıkardı.
Bir Windows duvar kağıdı konumunu uzak bir konumda bulunan bir dosyaya
ayarlamak, örneğin yerel olarak mevcut bir görüntü yerine parola korumalı bir
HTTP (s) sayfası, kimlik avı için kötüye kullanılabilir.
Bunun nedeni, HTTP Temel Erişim Kimlik Doğrulamasını
kullanan şifre korumalı web sitesinin, duvar kağıdına erişilmeden önce,
kullanıcıdan doğal olarak o web sitesi için bir şifre istemesi olabilir.
HTTP Temel Kimlik Doğrulamasına aşina olmayanlar, bir demo
için örnek olarak W3’ün Jigsaw bağlantısını kullanabilir.
Web tarayıcınızda doğrudan https://jigsaw.w3.org/HTTP/Basic/
adresine gidin (kullanıcı adı ve parolanın ikisi de “guest” dir).
Artık bir web sayfası yerine, orada bir duvar kağıdı veya
Windows teması olduğunu varsayıldığında ve bu URL’yi bir dosya adının
beklendiği yere belirttiğinizde, bu web sitesi için aynı şekilde bir kullanıcı
adı ve şifre girmeniz istenirdi.
Aslında, diğer yazılım programları da aynı şeyi yapmaktadır. Word’e uzak bir kaynak (örneğin, parola korumalı bir URL’den bir resim) eklemeyi denediğinizde, karşınıza benzer bir iletişim kutusu çıkacaktır.
Kimlik avı saldırıları? Olabilir…
Bazı açılardan, bu “amaçlanan özellik” kimlik avı
saldırıları için kötüye kullanılabilir. Yerel bir sistem üzerinde bu iletişim
kutusunu gören tecrübesiz bir kullanıcı, web sitesinin aksine Windows veya
Microsoft Hesabı kimlik bilgilerini girerse…
Ancak, bu durumda kullanıcının gerçekten ne yaptığını
bilmediğini ve ek bilgisayar güvenlik eğitimine ihtiyaç duyduğunu iddia
edilebilir.
Dahası, her durumda – ister remote olarak mevcut olan bir
duvar kağıdını ayarlıyor olun, ister Word belgenize bir resim ekliyor olun,
parolayı isteyen web sitesinin adı açıkça görüntülenir.
Araştırmacıya göre Microsoft, “tasarım gereği bir özellik”
olduğu için bu hatayı düzeltmeyeceğini belirtti, ancak güvenlik açısından önem
arz ettiği için neden yapmaları gerektiği savunuluyor. HTTP Temel Kimlik
Doğrulamasına izin vermenin daha iyi bir yolu nedir?
Uzak kaynakların bazı konumlara (duvar kağıtları ve temalar
gibi) tamamen eklenmesine izin verme seçeneğini devre dışı bırakabilir misiniz?
