Der findes to separate sårbarheder i forskellige versioner af Windows, som gør det muligt for angribere at snige ondsindede vedhæftede filer og filer forbi Microsofts Mark of the Web-sikkerhedsfunktion (MOTW).
Angribere udnytter begge problemer aktivt, ifølge Will Dormann, en tidligere softwaresårbarhedsanalytiker med CERT Coordination Center (CERT/CC) ved Carnegie Mellon University, som opdagede de to fejl. Men indtil videre har Microsoft ikke udstedt nogen rettelser til dem, og ingen kendte løsninger er tilgængelige for organisationer til at beskytte sig selv, siger forskeren, som er blevet krediteret for at opdage adskillige nul-dages sårbarheder i løbet af sin karriere.
MotW-beskyttelse for filer, der ikke er tillid til
MotW er en Windows-funktion designet til at beskytte brugere mod filer fra upålidelige kilder. Selve mærket er et skjult tag, som Windows vedhæfter til filer, der er downloadet fra internettet. Filer, der bærer MotW-tagget, er begrænset i, hvad de gør, og hvordan de fungerer. For eksempel starter med MS Office 10, MotW-mærkede filer åbnes som standard i beskyttet visning, og eksekverbare filer kontrolleres først for sikkerhedsproblemer af Windows Defender, før de får lov til at køre.
"Mange Windows-sikkerhedsfunktioner - [såsom] Microsoft Office-beskyttet visning, SmartScreen, Smart App Control, [og] advarselsdialoger - er afhængige af tilstedeværelsen af MotW for at fungere," Dormann, som i øjeblikket er senior sårbarhedsanalytiker hos Analygence, fortæller Dark Reading.
Fejl 1: MotW .ZIP Bypass, med uofficiel patch
Dormann rapporterede det første af de to MotW-omgåelsesproblemer til Microsoft den 7. juli. Ifølge ham undlader Windows at anvende MotW på filer, der er udtrukket fra specifikt udformede .ZIP-filer.
"Enhver fil indeholdt i en .ZIP kan konfigureres på en måde, så den ikke vil indeholde MOTW-markeringer, når den udpakkes," siger Dorman. "Dette giver en angriber mulighed for at have en fil, der fungerer på en måde, så det ser ud til, at den ikke kom fra internettet." Dette gør det nemmere for dem at narre brugere til at køre vilkårlig kode på deres systemer, bemærker Dormann.
Dormann siger, at han ikke kan dele detaljer om fejlen, fordi det ville give væk, hvordan angribere kunne udnytte fejlen. Men han siger, at det påvirker alle versioner af Windows fra XP. Han siger, at en grund til, at han ikke har hørt fra Microsoft sandsynligvis er, at sårbarheden blev rapporteret til dem via CERT's Vulnerability Information and Coordination Environment (VINCE), en platform, som han siger, at Microsoft har nægtet at bruge.
"Jeg har ikke arbejdet hos CERT siden slutningen af juli, så jeg kan ikke sige, om Microsoft har forsøgt at kontakte CERT på nogen måde fra juli af," advarer han.
Dormann siger, at andre sikkerhedsforskere har rapporteret, at de har set angribere aktivt udnytte fejlen. En af dem er sikkerhedsforsker Kevin Beaumont, en tidligere trusselsefterretningsanalytiker hos Microsoft. I en tweet-tråd tidligere på måneden rapporterede Beaumont, at fejlen blev udnyttet i naturen.
"Dette er uden tvivl dummeste nul dag jeg har arbejdet på" sagde Beaumont.
I et separat tweet en dag senere sagde Beaumont, at han ønskede at frigive detektionsvejledning for problemet, men var bekymret over det potentielle nedfald.
"Hvis Emotet/Qakbot/etc finder det, vil de 100% bruge det i stor skala," advarede han.
Microsoft reagerede ikke på to Dark Reading-anmodninger, der søger kommentarer til Dormanns rapporterede sårbarheder, eller om det havde planer om at løse dem, men det slovensk-baserede sikkerhedsfirma Acros Security i sidste uge udgivet en uofficiel patch for denne første sårbarhed via sin 0patch-patch-platform.
I kommentarer til Dark Reading siger Mitja Kolsek, CEO og medstifter af 0patch og Acros Security, at han var i stand til at bekræfte den sårbarhed, som Dormann rapporterede til Microsoft i juli.
"Ja, det er latterligt indlysende, når man først ved det. Derfor har vi ikke ønsket at afsløre nogen detaljer,” siger han. Han siger, at koden, der udfører udpakningen af .ZIP-filer, er mangelfuld, og kun en koderettelse kan rette op på det. "Der er ingen løsninger," siger Kolsek.
Kolsek siger, at problemet ikke er svært at udnytte, men han tilføjer, at sårbarheden alene ikke er nok til et vellykket angreb. For at udnytte succesen skal en angriber stadig overbevise en bruger om at åbne en fil i et ondsindet udformet .ZIP-arkiv - sendt som en vedhæftet fil via en phishing-e-mail eller kopieret fra et flytbart drev som f.eks. en USB-stick.
"Normalt vil alle filer, der er udtrukket fra et .ZIP-arkiv, der er markeret med MotW, også få dette mærke og vil derfor udløse en sikkerhedsadvarsel, når de åbnes eller startes," siger han, men sårbarheden giver helt sikkert angribere en måde at omgå beskyttelsen. "Vi er ikke bekendt med nogen formildende omstændigheder," tilføjer han.
Fejl 2: snige sig forbi MotW med korrupte autentikodesignaturer
Den anden sårbarhed involverer håndteringen af MotW-mærkede filer, der har korrupte Authenticode digitale signaturer. Authenticode er en Microsoft-kodesigneringsteknologi der autentificerer identiteten på udgiveren af et bestemt stykke software og afgør, om softwaren blev manipuleret efter den blev offentliggjort.
Dormann siger, at han opdagede, at hvis en fil har en forkert udformet Authenticode-signatur, vil den blive behandlet af Windows, som om den ikke havde nogen MotW; sårbarheden får Windows til at springe SmartScreen og andre advarselsdialoger over, før en JavaScript-fil udføres.
"Windows ser ud til at 'fejle åben', når den støder på en fejl [når] behandler Authenticode-data," siger Dormann, og "det vil ikke længere anvende MotW-beskyttelse på Authenticode-signerede filer, på trods af at de faktisk stadig beholder MotW."
Dormann beskriver problemet som at påvirke alle versioner af Windows fra version 10 og frem, inklusive servervarianten af Windows Server 2016. Sårbarheden giver angribere en måde at signere enhver fil, der kan signeres af Authenticode på en korrupt måde - såsom .exe-filer og JavaScript-filer - og snig det forbi MOTW-beskyttelse.
Dormann siger, at han lærte af problemet efter at have læst en HP Threat Research-blog fra tidligere på måneden om en Magniber ransomware kampagne involverer en udnyttelse af fejlen.
Det er uklart, om Microsoft griber ind, men indtil videre fortsætter forskere med at slå alarm. "Jeg har ikke modtaget et officielt svar fra Microsoft, men samtidig har jeg ikke officielt rapporteret problemet til Microsoft, da jeg ikke længere er CERT-medarbejder," siger Dormann. "Jeg annoncerede det offentligt via Twitter på grund af den sårbarhed, der bliver brugt af angribere i naturen."
