Existen dos vulnerabilidades separadas en diferentes versiones de Windows que permiten a los atacantes infiltrar adjuntos y archivos maliciosos más allá de la función de seguridad Mark of the Web (MOTW) de Microsoft.
Los atacantes están explotando activamente ambos problemas, según Will Dormann, exanalista de vulnerabilidades de software del Centro de Coordinación CERT (CERT/CC) en la Universidad Carnegie Mellon, quien descubrió los dos errores. Pero hasta ahora, Microsoft no ha publicado ninguna solución para ellos, y no hay soluciones alternativas disponibles para que las organizaciones se protejan, dice el investigador, a quien se le atribuye el descubrimiento de numerosas vulnerabilidades de día cero a lo largo de su carrera.
Protecciones de MotW para archivos que no son de confianza
MotW es una característica de Windows diseñada para proteger a los usuarios contra archivos de fuentes no confiables. La marca en sí es una etiqueta oculta que adjunta Windows a los archivos descargados de Internet. Los archivos que llevan la etiqueta MotW están restringidos en lo que hacen y cómo funcionan. Por ejemplo, a partir de MS Office 10, los archivos con la etiqueta MotW se abren de forma predeterminada en Vista protegida y Windows Defender examina primero los ejecutables para detectar problemas de seguridad antes de que se les permita ejecutarse.
"Muchas características de seguridad de Windows, [como] la vista protegida de Microsoft Office, SmartScreen, Smart App Control, [y] los cuadros de diálogo de advertencia, dependen de la presencia de MotW para funcionar", Dormann, quien actualmente es analista senior de vulnerabilidades en Analygence, le dice a Dark Reading.
Error 1: MotW .ZIP Bypass, con parche no oficial
Dormann informó el primero de los dos problemas de omisión de MotW a Microsoft el 7 de julio. Según él, Windows no aplica el MotW a los archivos extraídos de archivos .ZIP creados específicamente.
“Cualquier archivo contenido dentro de un .ZIP se puede configurar de manera que cuando se extraiga, no contenga marcas MOTW”, dice Dorman. “Esto le permite a un atacante tener un archivo que funcionará de una manera que parezca que no proviene de Internet”. Esto les facilita engañar a los usuarios para que ejecuten código arbitrario en sus sistemas, señala Dormann.
Dormann dice que no puede compartir los detalles del error, porque eso revelaría cómo los atacantes podrían aprovechar la falla. Pero dice que afecta a todas las versiones de Windows desde XP en adelante. Él dice que una de las razones por las que no ha tenido noticias de Microsoft probablemente es porque la vulnerabilidad les fue informada a través del Vulnerability Information and Coordination Environment (VINCE) de CERT, una plataforma que dice que Microsoft se ha negado a usar.
“No he trabajado en el CERT desde finales de julio, por lo que no puedo decir si Microsoft ha intentado ponerse en contacto con el CERT de alguna forma a partir de julio”, advierte.
Dormann dice que otros investigadores de seguridad informaron haber visto atacantes explotando activamente la falla. Uno de ellos es el investigador de seguridad Kevin Beaumont, exanalista de inteligencia de amenazas en Microsoft. En un hilo de tweet a principios de este mes, Beaumont informó que la falla estaba siendo explotada en la naturaleza.
“Este es sin duda el el día cero más tonto en el que he trabajado”, dijo Beaumont.
En un tweet separado un día después, Beaumont dijo que quería publicar una guía de detección para el problema, pero que estaba preocupado por las posibles consecuencias.
“Si Emotet/Qakbot/etc lo encuentran, lo usarán al 100% a escala”, advirtió.
Microsoft no respondió a dos solicitudes de lectura oscura en busca de comentarios sobre las vulnerabilidades informadas de Dormann o si tenía planes para abordarlas, pero la semana pasada la firma de seguridad con sede en Eslovenia Acros Security lanzó un parche no oficial para esta primera vulnerabilidad a través de su plataforma de parcheo 0patch.
En comentarios a Dark Reading, Mitja Kolsek, CEO y cofundadora de 0patch y Acros Security, dice que pudo confirmar la vulnerabilidad que Dormann informó a Microsoft en julio.
“Sí, es ridículamente obvio una vez que lo sabes. Por eso no queríamos revelar ningún detalle”, dice. Él dice que el código que realiza la descompresión de los archivos .ZIP es defectuoso y solo un parche de código puede solucionarlo. “No hay soluciones alternativas”, dice Kolsek.
Kolsek dice que el problema no es difícil de explotar, pero agrega que la vulnerabilidad por sí sola no es suficiente para un ataque exitoso. Para explotar con éxito, un atacante aún necesitaría convencer a un usuario para que abra un archivo en un archivo .ZIP creado con fines maliciosos, enviado como un archivo adjunto a través de un correo electrónico de phishing o copiado de una unidad extraíble, como una memoria USB, por ejemplo.
“Normalmente, todos los archivos extraídos de un archivo .ZIP que está marcado con MotW también obtendrían esta marca y, por lo tanto, activarían una advertencia de seguridad cuando se abrieran o ejecutaran”, dice, pero la vulnerabilidad definitivamente les permite a los atacantes eludir la protección. “No tenemos conocimiento de ninguna circunstancia atenuante”, agrega.
Error 2: Escabullirse de MotW con firmas de Authenticode corruptas
La segunda vulnerabilidad involucra el manejo de archivos etiquetados MotW que tienen firmas digitales corruptas de Authenticode. Authenticode es una tecnología de firma de código de Microsoft que autentica la identidad del editor de una pieza de software en particular y determina si el software fue manipulado después de su publicación.
Dormann dice que descubrió que si un archivo tiene una firma de Authenticode mal formada, Windows lo tratará como si no tuviera MotW; la vulnerabilidad hace que Windows omita SmartScreen y otros cuadros de diálogo de advertencia antes de ejecutar un archivo JavaScript.
"Windows parece 'fallar al abrirse' cuando encuentra un error [al] procesar datos de Authenticode", dice Dormann, y "ya no aplicará las protecciones de MotW a los archivos firmados con Authenticode, a pesar de que aún retienen el MotW".
Dormann describe que el problema afecta a todas las versiones de Windows desde la versión 10 en adelante, incluida la variante de servidor de Windows Server 2016. La vulnerabilidad brinda a los atacantes una forma de firmar cualquier archivo que Authenticode pueda firmar de forma corrupta, como los archivos .exe. y archivos JavaScript, y pasar a escondidas las protecciones MOTW.
Dormann dice que se enteró del problema después de leer un blog de HP Threat Research de principios de este mes sobre un Campaña de ransomware Magniber implicando un exploit para la falla.
No está claro si Microsoft está tomando medidas, pero por ahora, los investigadores continúan dando la alarma. “No he recibido una respuesta oficial de Microsoft, pero al mismo tiempo, no he informado oficialmente el problema a Microsoft, ya que ya no soy un empleado del CERT”, dice Dormann. “Lo anuncié públicamente a través de Twitter, debido a la vulnerabilidad que utilizan los atacantes en la naturaleza”.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
