In verschiedenen Windows-Versionen existieren zwei separate Schwachstellen, die es Angreifern ermöglichen, bösartige Anhänge und Dateien an Microsofts Sicherheitsfunktion Mark of the Web (MOTW) vorbeizuschmuggeln.
Angreifer nutzen beide Probleme aktiv aus, so Will Dormann, ein ehemaliger Analyst für Software-Schwachstellen beim CERT Coordination Center (CERT/CC) an der Carnegie Mellon University, der die beiden Fehler entdeckte. Aber bisher hat Microsoft keine Korrekturen für sie herausgegeben, und es sind keine bekannten Problemumgehungen für Unternehmen verfügbar, um sich zu schützen, sagt der Forscher, dem im Laufe seiner Karriere die Entdeckung zahlreicher Zero-Day-Schwachstellen zugeschrieben wird.
MotW-Schutz für nicht vertrauenswürdige Dateien
MotW ist eine Windows-Funktion, die entwickelt wurde, um Benutzer vor Dateien aus nicht vertrauenswürdigen Quellen zu schützen. Das Zeichen selbst ist ein verstecktes Tag, das Windows anfügt auf aus dem Internet heruntergeladene Dateien. Dateien, die das MotW-Tag tragen, sind in ihrer Funktion und Funktion eingeschränkt. Beispielsweise werden ab MS Office 10 MotW-getaggte Dateien standardmäßig in der geschützten Ansicht geöffnet, und ausführbare Dateien werden zunächst von Windows Defender auf Sicherheitsprobleme überprüft, bevor sie ausgeführt werden dürfen.
„Viele Windows-Sicherheitsfunktionen – [wie] Microsoft Office Protected View, SmartScreen, Smart App Control, [und] Warndialoge – sind auf das Vorhandensein des MotW angewiesen, um zu funktionieren“, sagt Dormann, derzeit Senior Vulnerability Analyst bei Analygence. erzählt Dark Reading.
Bug 1: MotW .ZIP Bypass, mit inoffiziellem Patch
Dormann meldete Microsoft am 7. Juli das erste der beiden MotW-Bypass-Probleme. Laut ihm wendet Windows das MotW nicht auf Dateien an, die aus speziell präparierten .ZIP-Dateien extrahiert wurden.
„Jede in einer .ZIP-Datei enthaltene Datei kann so konfiguriert werden, dass sie beim Extrahieren keine MOTW-Markierungen enthält“, sagt Dorman. „Dies ermöglicht es einem Angreifer, eine Datei zu haben, die so funktioniert, dass es den Anschein erweckt, als käme sie nicht aus dem Internet.“ Dies erleichtere es ihnen, Benutzer dazu zu bringen, beliebigen Code auf ihren Systemen auszuführen, bemerkt Dormann.
Dormann sagt, er könne keine Details des Fehlers mitteilen, da dies verraten würde, wie Angreifer den Fehler ausnutzen könnten. Aber er sagt, dass es alle Windows-Versionen ab XP betrifft. Er sagt, ein Grund, warum er nichts von Microsoft gehört habe, sei wahrscheinlich, dass die Schwachstelle ihnen über CERTs Vulnerability Information and Coordination Environment (VINCE) gemeldet wurde, eine Plattform, die Microsoft seiner Meinung nach abgelehnt hat.
„Ich habe seit Ende Juli nicht mehr bei CERT gearbeitet, daher kann ich nicht sagen, ob Microsoft seit Juli versucht hat, CERT in irgendeiner Weise zu kontaktieren“, warnt er.
Laut Dormann haben andere Sicherheitsforscher berichtet, dass Angreifer den Fehler aktiv ausnutzen. Einer von ihnen ist der Sicherheitsforscher Kevin Beaumont, ein ehemaliger Threat Intelligence Analyst bei Microsoft. In einem Tweet-Thread Anfang dieses Monats berichtete Beaumont, dass der Fehler in freier Wildbahn ausgenutzt wurde.
„Das ist ohne Zweifel das Der dümmste Zero Day, an dem ich gearbeitet habe“, sagte Beaumont.
In einem separaten Tweet einen Tag später sagte Beaumont, er wolle Erkennungsleitlinien für das Problem veröffentlichen, sei aber besorgt über die möglichen Folgen.
„Wenn Emotet/Qakbot/etc es finden, werden sie es zu 100 % in großem Umfang verwenden“, warnte er.
Microsoft hat nicht auf zwei Dark-Reading-Anfragen geantwortet, in denen um einen Kommentar zu den von Dormann gemeldeten Schwachstellen gebeten wurde oder ob es irgendwelche Pläne gibt, diese zu beheben, sondern die in Slowenien ansässige Sicherheitsfirma Acros Security letzte Woche hat einen inoffiziellen Patch veröffentlicht für diese erste Schwachstelle über seine Patching-Plattform 0patch.
In einem Kommentar gegenüber Dark Reading sagt Mitja Kolsek, CEO und Mitgründer von 0patch und Acros Security, dass er die Schwachstelle bestätigen konnte, die Dormann Microsoft im Juli gemeldet hatte.
„Ja, es ist lächerlich offensichtlich, wenn man es einmal weiß. Deshalb wollten wir keine Details verraten“, sagt er. Er sagt, dass der Code, der das Entpacken von .ZIP-Dateien durchführt, fehlerhaft ist und nur ein Code-Patch das beheben kann. „Es gibt keine Problemumgehungen“, sagt Kolsek.
Kolsek sagt, dass das Problem nicht schwer auszunutzen ist, aber er fügt hinzu, dass die Schwachstelle allein nicht für einen erfolgreichen Angriff ausreicht. Um erfolgreich auszunutzen, müsste ein Angreifer einen Benutzer immer noch dazu verleiten, eine Datei in einem in böser Absicht erstellten .ZIP-Archiv zu öffnen – das als Anhang über eine Phishing-E-Mail gesendet oder beispielsweise von einem Wechseldatenträger wie einem USB-Stick kopiert wird.
„Normalerweise würden alle Dateien, die aus einem .ZIP-Archiv extrahiert werden, das mit MotW gekennzeichnet ist, auch diese Markierung erhalten und würden daher beim Öffnen oder Starten eine Sicherheitswarnung auslösen“, sagt er, aber die Schwachstelle ermöglicht Angreifern definitiv eine Möglichkeit, den Schutz zu umgehen. „Uns sind keine mildernden Umstände bekannt“, fügt er hinzu.
Fehler 2: Sich mit beschädigten Authenticode-Signaturen an MotW vorbeischleichen
Die zweite Schwachstelle betrifft die Handhabung von Dateien mit MotW-Tags, die beschädigte digitale Authenticode-Signaturen aufweisen. Authenticode ist eine Code-Signing-Technologie von Microsoft die die Identität des Herausgebers einer bestimmten Software authentifiziert und feststellt, ob die Software nach ihrer Veröffentlichung manipuliert wurde.
Dormann sagt, er habe entdeckt, dass eine Datei mit einer fehlerhaften Authenticode-Signatur von Windows so behandelt wird, als hätte sie kein MotW; Die Schwachstelle führt dazu, dass Windows SmartScreen und andere Warndialoge überspringt, bevor eine JavaScript-Datei ausgeführt wird.
„Windows scheint sich nicht zu öffnen, wenn es bei der Verarbeitung von Authenticode-Daten auf einen Fehler stößt“, sagt Dormann, und „es wendet den MotW-Schutz nicht mehr auf Authenticode-signierte Dateien an, obwohl sie tatsächlich noch das MotW beibehalten.“
Dormann beschreibt, dass das Problem alle Windows-Versionen ab Version 10 betrifft, einschließlich der Server-Variante von Windows Server 2016. Die Schwachstelle gibt Angreifern eine Möglichkeit, jede Datei, die von Authenticode signiert werden kann, auf korrupte Weise zu signieren – beispielsweise .exe-Dateien und JavaScript-Dateien – und schleichen Sie es am MOTW-Schutz vorbei.
Dormann sagt, er habe von dem Problem erfahren, nachdem er Anfang dieses Monats einen HP Threat Research-Blog über a Magniber Ransomware-Kampagne mit einem Exploit für den Fehler.
Es ist unklar, ob Microsoft Maßnahmen ergreift, aber die Forscher schlagen vorerst weiter Alarm. „Ich habe keine offizielle Antwort von Microsoft erhalten, aber gleichzeitig habe ich Microsoft das Problem auch nicht offiziell gemeldet, da ich kein CERT-Mitarbeiter mehr bin“, sagt Dormann. „Ich habe es öffentlich über Twitter angekündigt, weil die Schwachstelle von Angreifern in freier Wildbahn ausgenutzt wird.“
