Υπάρχουν δύο ξεχωριστά τρωτά σημεία σε διαφορετικές εκδόσεις των Windows που επιτρέπουν στους εισβολείς να κρυφτούν κακόβουλα συνημμένα και αρχεία πέρα από τη δυνατότητα ασφαλείας Mark of the Web (MOTW) της Microsoft.
Οι επιτιθέμενοι εκμεταλλεύονται ενεργά και τα δύο ζητήματα, σύμφωνα με τον Will Dormann, πρώην αναλυτή ευπάθειας λογισμικού με το Κέντρο Συντονισμού CERT (CERT/CC) στο Πανεπιστήμιο Carnegie Mellon, ο οποίος ανακάλυψε τα δύο σφάλματα. Ωστόσο, μέχρι στιγμής, η Microsoft δεν έχει εκδώσει διορθώσεις για αυτές και δεν υπάρχουν γνωστοί τρόποι αντιμετώπισης για τους οργανισμούς για να προστατευθούν, λέει ο ερευνητής, ο οποίος έχει πιστωθεί με την ανακάλυψη πολλών τρωτών σημείων zero-day κατά τη διάρκεια της καριέρας του.
Προστασία MotW για μη αξιόπιστα αρχεία
Το MotW είναι μια δυνατότητα των Windows που έχει σχεδιαστεί για να προστατεύει τους χρήστες από αρχεία από μη αξιόπιστες πηγές. Το ίδιο το σήμα είναι μια κρυφή ετικέτα που επισυνάπτουν τα Windows σε αρχεία που έχουν ληφθεί από το Διαδίκτυο. Τα αρχεία που φέρουν την ετικέτα MotW περιορίζονται ως προς το τι κάνουν και τον τρόπο λειτουργίας τους. Για παράδειγμα, ξεκινώντας από το MS Office 10, τα αρχεία με ετικέτα MotW ανοίγουν από προεπιλογή στην Προστατευμένη προβολή και τα εκτελέσιμα ελέγχονται πρώτα για ζητήματα ασφαλείας από το Windows Defender προτού επιτραπεί η εκτέλεσή τους.
«Πολλές λειτουργίες ασφαλείας των Windows — [όπως] Προστατευμένη προβολή του Microsoft Office, SmartScreen, Έλεγχος Έξυπνων εφαρμογών [και] προειδοποιητικά παράθυρα — βασίζονται στην παρουσία του MotW για να λειτουργήσουν», ο Dormann, ο οποίος είναι επί του παρόντος ανώτερος αναλυτής ευπάθειας στην Analygence. λέει στο Dark Reading.
Σφάλμα 1: Παράκαμψη MotW .ZIP, με ανεπίσημη ενημέρωση κώδικα
Ο Dormann ανέφερε το πρώτο από τα δύο ζητήματα παράκαμψης MotW στη Microsoft στις 7 Ιουλίου. Σύμφωνα με τον ίδιο, τα Windows αποτυγχάνουν να εφαρμόσουν το MotW σε αρχεία που εξάγονται από ειδικά δημιουργημένα αρχεία .ZIP.
"Οποιοδήποτε αρχείο που περιέχεται σε ένα .ZIP μπορεί να ρυθμιστεί με τέτοιο τρόπο ώστε κατά την εξαγωγή του, να μην περιέχει σημάνσεις MOTW", λέει ο Dorman. "Αυτό επιτρέπει σε έναν εισβολέα να έχει ένα αρχείο που θα λειτουργεί με τρόπο που να φαίνεται ότι δεν προέρχεται από το Διαδίκτυο." Αυτό τους διευκολύνει να εξαπατήσουν τους χρήστες να τρέξουν αυθαίρετο κώδικα στα συστήματά τους, σημειώνει ο Dormann.
Ο Dormann λέει ότι δεν μπορεί να μοιραστεί λεπτομέρειες για το σφάλμα, γιατί αυτό θα έδινε τον τρόπο με τον οποίο οι επιτιθέμενοι θα μπορούσαν να αξιοποιήσουν το ελάττωμα. Αλλά λέει ότι επηρεάζει όλες τις εκδόσεις των Windows από XP και μετά. Λέει ότι ένας λόγος που δεν έχει ακούσει από τη Microsoft πιθανότατα είναι επειδή η ευπάθεια αναφέρθηκε σε αυτούς μέσω του Vulnerability Information and Coordination Environment (VINCE) της CERT, μια πλατφόρμα που λέει ότι η Microsoft αρνήθηκε να χρησιμοποιήσει.
«Δεν έχω εργαστεί στο CERT από τα τέλη Ιουλίου, επομένως δεν μπορώ να πω εάν η Microsoft έχει προσπαθήσει να επικοινωνήσει με οποιονδήποτε τρόπο με το CERT από τον Ιούλιο και μετά», προειδοποιεί.
Ο Dormann λέει ότι άλλοι ερευνητές ασφαλείας ανέφεραν ότι είδαν επιτιθέμενους να εκμεταλλεύονται ενεργά το ελάττωμα. Ένας από αυτούς είναι ο ερευνητής ασφαλείας Kevin Beaumont, πρώην αναλυτής πληροφοριών απειλών στη Microsoft. Σε ένα νήμα tweet νωρίτερα αυτόν τον μήνα, ο Beaumont ανέφερε ότι το ελάττωμα έγινε αντικείμενο εκμετάλλευσης στη φύση.
«Αυτό είναι χωρίς αμφιβολία το η πιο χαζή zero day που έχω δουλέψει», είπε ο Beaumont.
Σε ένα ξεχωριστό tweet μια μέρα αργότερα, ο Beaumont είπε ότι ήθελε να εκδώσει οδηγίες ανίχνευσης για το ζήτημα, αλλά ανησυχούσε για τις πιθανές συνέπειες.
«Αν το βρουν το Emotet/Qakbot/etc, θα το χρησιμοποιήσουν 100% σε κλίμακα», προειδοποίησε.
Η Microsoft δεν απάντησε σε δύο αιτήματα Dark Reading που ζητούσαν σχόλια σχετικά με τα αναφερόμενα τρωτά σημεία του Dormann ή εάν είχε σχέδια να τα αντιμετωπίσει, αλλά η εταιρεία ασφαλείας Acros Security με έδρα τη Σλοβενία την περασμένη εβδομάδα κυκλοφόρησε ένα ανεπίσημο patch για αυτήν την πρώτη ευπάθεια μέσω της πλατφόρμας ενημέρωσης κώδικα 0patch.
Σε σχόλια στο Dark Reading, ο Mitja Kolsek, Διευθύνων Σύμβουλος και συνιδρυτής του 0patch και του Acros Security, λέει ότι ήταν σε θέση να επιβεβαιώσει την ευπάθεια που ανέφερε ο Dormann στη Microsoft τον Ιούλιο.
«Ναι, είναι γελοία προφανές μόλις το μάθεις. Γι' αυτό δεν θέλαμε να αποκαλύψουμε λεπτομέρειες», λέει. Λέει ότι ο κώδικας που εκτελεί την αποσυμπίεση των αρχείων .ZIP είναι ελαττωματικός και μόνο μια ενημερωμένη έκδοση κώδικα μπορεί να το διορθώσει. "Δεν υπάρχουν λύσεις", λέει ο Kolsek.
Ο Kolsek λέει ότι το ζήτημα δεν είναι δύσκολο να εκμεταλλευτεί κανείς, αλλά προσθέτει ότι η ευπάθεια από μόνη της δεν αρκεί για μια επιτυχημένη επίθεση. Για να εκμεταλλευτεί επιτυχώς, ένας εισβολέας θα πρέπει ακόμα να πείσει έναν χρήστη να ανοίξει ένα αρχείο σε ένα κακόβουλα δημιουργημένο αρχείο .ZIP — που αποστέλλεται ως συνημμένο μέσω email ηλεκτρονικού ψαρέματος ή αντιγράφεται από μια αφαιρούμενη μονάδα δίσκου, όπως ένα USB stick, για παράδειγμα.
"Κανονικά, όλα τα αρχεία που εξάγονται από ένα αρχείο .ZIP που είναι επισημασμένο με MotW θα λαμβάνουν επίσης αυτό το σήμα και ως εκ τούτου θα ενεργοποιούν μια προειδοποίηση ασφαλείας όταν ανοίγουν ή εκτελούνται", λέει, αλλά η ευπάθεια σίγουρα επιτρέπει στους εισβολείς έναν τρόπο να παρακάμψουν την προστασία. «Δεν γνωρίζουμε καμία ελαφρυντική περίσταση», προσθέτει.
Bug 2: Sleaking Past MotW With Corrupt Authenticode Signatures
Η δεύτερη ευπάθεια περιλαμβάνει τον χειρισμό αρχείων με ετικέτα MotW που έχουν κατεστραμμένες ψηφιακές υπογραφές Authenticode. Το Authenticode είναι μια τεχνολογία υπογραφής κώδικα της Microsoft που πιστοποιεί την ταυτότητα του εκδότη ενός συγκεκριμένου τμήματος λογισμικού και καθορίζει εάν το λογισμικό παραποιήθηκε μετά τη δημοσίευσή του.
Ο Dormann λέει ότι ανακάλυψε ότι εάν ένα αρχείο έχει λανθασμένη υπογραφή Authenticode, θα αντιμετωπίζεται από τα Windows σαν να μην είχε MotW. Η ευπάθεια αναγκάζει τα Windows να παρακάμπτουν το SmartScreen και άλλα προειδοποιητικά παράθυρα πριν από την εκτέλεση ενός αρχείου JavaScript.
«Τα Windows φαίνεται να «αποτυγχάνουν ανοιχτά» όταν αντιμετωπίζουν ένα σφάλμα [κατά την] επεξεργασία των δεδομένων Authenticode», λέει ο Dormann, και «δεν θα εφαρμόζει πλέον προστασίες MotW σε αρχεία με υπογραφή Authenticode, παρά το γεγονός ότι εξακολουθούν να διατηρούν το MotW».
Ο Dormann περιγράφει ότι το ζήτημα επηρεάζει κάθε έκδοση των Windows από την έκδοση 10 και μετά, συμπεριλαμβανομένης της παραλλαγής διακομιστή του Windows Server 2016. Η ευπάθεια δίνει στους εισβολείς έναν τρόπο να υπογράψουν οποιοδήποτε αρχείο που μπορεί να υπογραφεί από το Authenticode με κατεστραμμένο τρόπο — όπως αρχεία .exe και αρχεία JavaScript — και ξεπεράστε τις προστασίες MOTW.
Ο Dormann λέει ότι έμαθε για το ζήτημα αφού διάβασε ένα ιστολόγιο HP Threat Research από νωρίτερα αυτό το μήνα σχετικά με ένα Εκστρατεία ransomware Magniber που περιλαμβάνει εκμετάλλευση για το ελάττωμα.
Δεν είναι σαφές εάν η Microsoft λαμβάνει μέτρα, αλλά προς το παρόν, οι ερευνητές συνεχίζουν να κρούουν τον κώδωνα του κινδύνου. «Δεν έχω λάβει επίσημη απάντηση από τη Microsoft, αλλά την ίδια στιγμή, δεν έχω αναφέρει επίσημα το ζήτημα στη Microsoft, καθώς δεν είμαι πλέον υπάλληλος του CERT», λέει ο Dormann. «Το ανακοίνωσα δημόσια μέσω Twitter, λόγω της ευπάθειας που χρησιμοποιείται από επιτιθέμενους στην άγρια φύση».
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
