توجد ثغرتان منفصلتان في إصدارات مختلفة من Windows تسمح للمهاجمين بالتسلل إلى المرفقات والملفات الضارة بعد ميزة أمان Microsoft Mark of the Web (MOTW).
يستغل المهاجمون هاتين المسألتين بشكل نشط ، وفقًا لـ Will Dormann ، وهو محلل ثغرات برمجي سابق في مركز تنسيق CERT (CERT / CC) في جامعة كارنيجي ميلون ، الذي اكتشف الخطأين. لكن حتى الآن ، لم تصدر Microsoft أي إصلاحات لها ، ولا توجد حلول بديلة متاحة للمؤسسات لحماية نفسها ، كما يقول الباحث ، الذي يُنسب إليه الفضل في اكتشاف العديد من نقاط الضعف في يوم الصفر خلال حياته المهنية.
حماية MotW للملفات غير الموثوق بها
MotW هي ميزة Windows مصممة لحماية المستخدمين من الملفات من مصادر غير موثوق بها. العلامة نفسها علامة مخفية يقوم Windows بإرفاقها إلى الملفات التي تم تنزيلها من الإنترنت. يتم تقييد الملفات التي تحمل علامة MotW فيما يقومون به وكيفية عملها. على سبيل المثال ، بدءًا من MS Office 10 ، يتم فتح الملفات التي تحمل علامة MotW افتراضيًا في طريقة العرض المحمية ، ويتم فحص الملفات التنفيذية أولاً بحثًا عن مشكلات الأمان بواسطة Windows Defender قبل السماح لها بالتشغيل.
"العديد من ميزات أمان Windows - [مثل] Microsoft Office Protected view و SmartScreen و Smart App Control [و] مربعات حوار التحذير - تعتمد على وجود MotW للعمل" ، Dormann ، وهو حاليًا أحد كبار محللي الثغرات الأمنية في Analygence ، يقول القراءة المظلمة.
الخطأ 1: MotW. ZIP Bypass ، مع تصحيح غير رسمي
أبلغ Dormann عن أول مشكلتين لتخطي MotW إلى Microsoft في 7 يوليو. ووفقًا له ، فشل Windows في تطبيق MotW على الملفات المستخرجة من ملفات ZIP المصممة خصيصًا.
يقول دورمان: "يمكن تهيئة أي ملف موجود في ملف .ZIP بطريقة بحيث لا يحتوي على علامات MOTW عند استخراجه". "يسمح هذا للمهاجم أن يكون لديه ملف يعمل بطريقة تجعله يبدو أنه لم يأت من الإنترنت." هذا يسهل عليهم خداع المستخدمين لتشغيل تعليمات برمجية عشوائية على أنظمتهم ، يلاحظ دورمان.
يقول دورمان إنه لا يمكنه مشاركة تفاصيل الخطأ ، لأن ذلك من شأنه أن يكشف كيف يمكن للمهاجمين الاستفادة من الخلل. لكنه يقول إنه يؤثر على جميع إصدارات Windows من XP وما بعده. ويقول إن أحد أسباب عدم سماعه من Microsoft على الأرجح هو أنه تم إبلاغهم بالثغرة الأمنية عبر بيئة معلومات الثغرات الأمنية والتنسيق (VINCE) التابعة لـ CERT ، وهي منصة يقول إن Microsoft رفضت استخدامها.
"لم أعمل في CERT منذ أواخر يوليو ، لذلك لا يمكنني القول ما إذا كانت Microsoft قد حاولت الاتصال بفريق CERT بأي شكل من الأشكال اعتبارًا من يوليو" ، كما يحذر.
يقول دورمان إن باحثين أمنيين آخرين أبلغوا عن رؤية المهاجمين يستغلون الخلل بنشاط. أحدهم هو الباحث الأمني كيفين بومونت ، وهو محلل استخبارات تهديدات سابق في Microsoft. في تغريدة في وقت سابق من هذا الشهر ، أبلغ بومونت أن الخلل قد تم استغلاله في البرية.
"هذا بلا شك أغبى يوم صفري عملت عليهقال بومونت.
في تغريدة منفصلة بعد يوم واحد ، قال بومونت إنه يريد إصدار إرشادات الكشف عن المشكلة لكنه كان قلقًا بشأن التداعيات المحتملة.
وحذر من أنه "إذا وجد Emotet / Qakbot / إلخ ، أنه سيستخدمه بنسبة 100٪ على نطاق واسع".
لم تستجب Microsoft لطلبي Dark Reading للحصول على تعليق على نقاط الضعف التي تم الإبلاغ عنها في Dormann أو ما إذا كان لديها أي خطط لمعالجتها ، لكن شركة الأمان Acros Security ومقرها سلوفينيا الأسبوع الماضي أصدر رقعة غير رسمية لهذه الثغرة الأولى عبر منصة الترقيع 0patch.
في تعليقات لـ Dark Reading ، قال Mitja Kolsek ، الرئيس التنفيذي والمؤسس المشارك لـ 0patch و Acros Security ، إنه كان قادرًا على تأكيد الثغرة الأمنية التي أبلغ عنها Dormann إلى Microsoft في يوليو.
"نعم ، يصبح الأمر واضحًا بشكل يبعث على السخرية بمجرد أن تعرفه. لهذا السبب لم نرغب في الكشف عن أي تفاصيل ". يقول إن الكود الذي يقوم بفك ضغط ملفات .ZIP معيب ولا يمكن إصلاح ذلك إلا عن طريق تصحيح الكود. يقول Kolsek: "لا توجد حلول بديلة".
يقول Kolsek إنه ليس من الصعب استغلال المشكلة ، لكنه يضيف أن الثغرة الأمنية وحدها لا تكفي لهجوم ناجح. للاستغلال بنجاح ، سيظل المهاجم بحاجة إلى إقناع المستخدم بفتح ملف في أرشيف مضغوط.
يقول: "عادةً ، ستحصل جميع الملفات المستخرجة من أرشيف ZIP الذي تم وضع علامة MotW عليه أيضًا على هذه العلامة ، وبالتالي ستطلق تحذيرًا أمنيًا عند فتحها أو إطلاقها" ، لكن الثغرة تسمح بالتأكيد للمهاجمين بطريقة لتجاوز الحماية. ويضيف: "لسنا على علم بأي ظروف مخففة".
الخطأ 2: التسلل إلى الماضي مع تواقيع رموز المصادقة الفاسدة
تتضمن الثغرة الأمنية الثانية معالجة ملفات MotW الموسومة التي تحتوي على توقيعات رقمية تالفة برموز المصادقة. رمز المصادقة عبارة عن تقنية توقيع تعليمات برمجية من Microsoft يصادق على هوية ناشر برنامج معين ويحدد ما إذا كان قد تم العبث بالبرنامج بعد نشره.
يقول دورمان إنه اكتشف أنه إذا كان الملف يحتوي على توقيع رمز مصادقة تالف ، فسيتم التعامل معه بواسطة Windows كما لو أنه لا يحتوي على MotW ؛ تتسبب الثغرة الأمنية في تخطي Windows SmartScreen ومربعات حوار التحذير الأخرى قبل تنفيذ ملف JavaScript.
يقول دورمان: "يبدو أن نظام التشغيل Windows" يفشل في الفتح "عندما يواجه خطأً [عند] معالجة بيانات رمز المصادقة" ، و "لن يطبق بعد الآن حماية MotW على الملفات الموقعة برموز المصادقة ، على الرغم من أنها في الواقع لا تزال تحتفظ بـ MotW."
يصف دورمان المشكلة بأنها تؤثر على كل إصدار من Windows بدءًا من الإصدار 10 وما بعده ، بما في ذلك متغير الخادم لـ Windows Server 2016. وتوفر الثغرة الأمنية للمهاجمين طريقة لتوقيع أي ملف يمكن توقيعه بواسطة Authenticode بطريقة فاسدة - مثل ملفات exe. وملفات جافا سكريبت - وتخطى حماية MOTW.
يقول دورمان إنه علم بهذه المشكلة بعد قراءة مدونة HP Threat Research في وقت سابق من هذا الشهر حول a حملة Magniber ransomware تنطوي على استغلال للخطأ.
من غير الواضح ما إذا كانت Microsoft تتخذ إجراءً ، ولكن في الوقت الحالي ، يواصل الباحثون دق ناقوس الخطر. يقول دورمان: "لم أتلق ردًا رسميًا من Microsoft ، ولكن في الوقت نفسه ، لم أبلغ Microsoft رسميًا بالمشكلة ، لأنني لم أعد موظفًا في CERT". "لقد أعلنت ذلك علنًا عبر Twitter ، بسبب الثغرة الأمنية التي يستخدمها المهاجمون في البرية."
