Windowsi erinevates versioonides on kaks erinevat haavatavust, mis võimaldavad ründajatel hiilida Microsofti Mark of the Web (MOTW) turvafunktsioonist mööda pahatahtlikke manuseid ja faile.
Carnegie Melloni ülikooli CERT-i koordineerimiskeskuse (CERT/CC) endise tarkvara haavatavuse analüütiku Will Dormanni sõnul kasutavad ründajad aktiivselt mõlemat probleemi, kes need kaks viga avastas. Kuid siiani pole Microsoft neile parandusi välja andnud ja organisatsioonidel pole teadaolevaid lahendusi enda kaitsmiseks, ütleb teadlane, kellele omistatakse oma karjääri jooksul arvukate nullpäevade haavatavuste avastamist.
MotW kaitsed ebausaldusväärsete failide jaoks
MotW on Windowsi funktsioon, mis on loodud kasutajate kaitsmiseks ebausaldusväärsetest allikatest pärit failide eest. Märk ise on peidetud silt, mille Windows lisab Internetist alla laaditud failidele. MotW silti kandvate failide tegevus ja toimimine on piiratud. Näiteks alates MS Office 10-st avanevad MotW-sildiga failid vaikimisi kaitstud vaates ja Windows Defender kontrollib käivitatavad failid esmalt turvaprobleemide suhtes, enne kui neil lubatakse käitada.
"Paljud Windowsi turbefunktsioonid – [nagu] Microsoft Office'i kaitstud vaade, SmartScreen, Smart App Control [ja] hoiatusdialoogid - sõltuvad MotW olemasolust," ütles Dormann, kes on praegu Analygence'i haavatavuse vanemanalüütik. räägib Dark Reading.
1. viga: MotW .ZIP-i ümbersõit mitteametliku paigaga
Dormann teatas esimesest kahest MotW möödaviiguprobleemist Microsoftile 7. juulil. Tema sõnul ei suuda Windows rakendada MotW-d failidele, mis on ekstraheeritud spetsiaalselt loodud ZIP-failidest.
"Iga .ZIP-is sisalduvat faili saab konfigureerida nii, et selle ekstraktimisel ei sisalda see MOTW-märke," ütleb Dorman. "See võimaldab ründajal omada faili, mis töötab viisil, mis jätab mulje, et see ei pärine Internetist." Dormann märgib, et nii on neil lihtsam meelitada kasutajaid oma süsteemides suvalist koodi käivitama.
Dormann ütleb, et ta ei saa vea üksikasju jagada, sest see annaks teada, kuidas ründajad saaksid viga ära kasutada. Kuid ta ütleb, et see mõjutab kõiki Windowsi versioone alates XP-st. Ta ütleb, et üks põhjus, miks ta Microsoftist kuulnud pole, on tõenäoliselt see, et haavatavusest teatati neile CERT-i haavatavuse teabe- ja koordineerimiskeskkonna (VINCE) kaudu – platvorm, mida Microsoft on tema sõnul keeldunud kasutamast.
"Ma ei ole juuli lõpust saadik CERT-is töötanud, seega ei saa ma öelda, kas Microsoft on üritanud alates juulist CERT-iga kuidagi ühendust võtta," hoiatab ta.
Dormanni sõnul on teised turvateadlased teatanud, et ründajad on seda viga aktiivselt ära kasutanud. Üks neist on turvateadlane Kevin Beaumont, endine Microsofti ohuluureanalüütik. Selle kuu alguses avaldas Beaumont säutsu lõimes, et viga kasutati looduses ära.
"See on kahtlemata kõige rumalam nullpäev, mille jooksul olen töötanud"ütles Beaumont.
Päev hiljem eraldi säutsus teatas Beaumont, et soovib avaldada probleemi tuvastamise juhised, kuid tunneb muret võimaliku väljalangemise pärast.
"Kui Emotet / Qakbot / jne selle leiavad, kasutavad nad seda 100% ulatuses," hoiatas ta.
Microsoft ei vastanud kahele Dark Readingi päringule, milles sooviti kommenteerida Dormanni teatatud turvaauke või seda, kas tal oli mingeid plaane nendega tegeleda, kuid eelmisel nädalal Sloveenias asuv turvafirma Acros Security andis välja mitteametliku plaastri selle esimese haavatavuse jaoks selle 0patch-paigaldusplatvormi kaudu.
Kommentaarides Dark Readingule ütleb 0patchi ja Acros Security tegevjuht ja kaasasutaja Mitja Kolsek, et ta suutis kinnitada haavatavust, millest Dormann juulis Microsoftile teatas.
„Jah, see on naeruväärselt ilmne, kui sa seda tead. Seetõttu ei tahtnud me üksikasju avaldada, ”ütleb ta. Ta ütleb, et ZIP-failide lahtipakkimise kood on vigane ja seda saab parandada ainult koodiparandus. "Mingeid lahendusi pole, " ütleb Kolsek.
Kolseki sõnul pole probleemi raske ära kasutada, kuid ta lisab, et haavatavusest üksi edukaks rünnakuks ei piisa. Edukaks ärakasutamiseks peab ründaja siiski veenma kasutajat avama faili pahatahtlikult koostatud ZIP-arhiivis – see saadetakse manusena andmepüügimeili kaudu või kopeeritakse irdkettalt, näiteks USB-mälupulgalt.
"Tavaliselt saavad kõik MotW-ga tähistatud ZIP-arhiivist ekstraheeritud failid ka selle märgi ja käivitavad seetõttu avamisel või käivitamisel turvahoiatuse," ütleb ta, kuid haavatavus võimaldab ründajatel kindlasti kaitsest mööda minna. "Me ei ole teadlikud kergendavatest asjaoludest," lisab ta.
Viga 2: MotW-st hiilimine rikutud autentimiskoodi allkirjadega
Teine haavatavus hõlmab MotW-märgistatud failide käsitlemist, millel on rikutud Authenticode'i digitaalallkirjad. Autentikood on Microsofti koodiallkirjastamise tehnoloogia mis tuvastab konkreetse tarkvara väljaandja identiteedi ja määrab, kas tarkvara on pärast avaldamist rikutud.
Dormann ütleb, et ta avastas, et kui failil on valesti vormindatud autentimiskoodi allkiri, käsitleb Windows seda nii, nagu poleks sellel MotW-d; haavatavuse tõttu jätab Windows SmartScreeni ja muud hoiatusdialoogid enne JavaScripti faili käivitamist vahele.
"Autentikoodi andmete töötlemisel ilmneb tõrge, et Windows näib tõrgeteta avanevat," ütleb Dormann, ja "ei rakenda enam MotW-kaitset autentimiskoodiga allkirjastatud failidele, hoolimata sellest, et MotW on endiselt alles."
Dormann kirjeldab, et probleem mõjutab kõiki Windowsi versioone alates versioonist 10, sealhulgas Windows Server 2016 serverivarianti. See haavatavus annab ründajatele võimaluse allkirjastada kõik failid, millele Authenticode saab rikutud kujul alla kirjutada – näiteks exe-failid. ja JavaScripti faile – ja hiilige sellest mööda MOTW kaitsetest.
Dormann ütleb, et sai sellest probleemist teada pärast seda, kui luges selle kuu alguses HP Threat Researchi ajaveebi umbes a Magniberi lunavarakampaania mis hõlmab vea ärakasutamist.
Pole selge, kas Microsoft võtab meetmeid, kuid praegu tõstavad teadlased jätkuvalt häiret. "Ma ei ole Microsoftilt ametlikku vastust saanud, kuid samas pole ma probleemist ametlikult Microsoftile teatanud, kuna ma ei ole enam CERT-i töötaja," ütleb Dormann. "Teatasin sellest avalikult Twitteri kaudu, kuna ründajad looduses kasutavad haavatavust."
