Windows Mark of the Web Zero-Days بدون وصله می‌ماند، تحت بهره‌برداری از هوش داده PlatoBlockchain. جستجوی عمودی Ai.

Windows Mark of the Web Zero-Days Remain Patchless, Under Exploit

تمبر زمان: 25 اکتبر 2022، 3:40 بعد از ظهر

دو آسیب‌پذیری جداگانه در نسخه‌های مختلف ویندوز وجود دارد که به مهاجمان اجازه می‌دهد پیوست‌ها و فایل‌های مخرب را از ویژگی امنیتی مایکروسافت Mark of the Web (MOTW) پنهان کنند.

به گفته ویل دورمن، تحلیلگر آسیب‌پذیری نرم‌افزار سابق با مرکز هماهنگی CERT (CERT/CC) در دانشگاه کارنگی ملون، که این دو باگ را کشف کرد، مهاجمان فعالانه از هر دو موضوع سوء استفاده می‌کنند. اما تا کنون، مایکروسافت هیچ اصلاحی برای آنها صادر نکرده است، و هیچ راه حل شناخته شده ای برای سازمان ها برای محافظت از خود در دسترس نیست، این محقق که به کشف آسیب پذیری های روز صفر متعدد در زندگی حرفه ای خود نسبت داده شده است، می گوید.

محافظت های MotW برای فایل های غیرقابل اعتماد

MotW یک ویژگی ویندوز است که برای محافظت از کاربران در برابر فایل ها از منابع نامعتبر طراحی شده است. خود علامت است یک تگ مخفی که ویندوز ضمیمه می کند به فایل های دانلود شده از اینترنت فایل‌هایی که دارای برچسب MotW هستند، از نظر کاری و نحوه عملکرد محدود هستند. برای مثال، با شروع MS Office 10، فایل‌های دارای برچسب MotW به طور پیش‌فرض در Protected View باز می‌شوند و فایل‌های اجرایی ابتدا از نظر مسائل امنیتی توسط Windows Defender قبل از اینکه اجازه اجرا داشته باشند، بررسی می‌شوند.

Dormann که در حال حاضر یک تحلیلگر ارشد آسیب‌پذیری در Analygence است، «بسیاری از ویژگی‌های امنیتی ویندوز - [مانند] Microsoft Office Protected View، SmartScreen، Smart App Control، [و] پنجره‌های هشدار، برای کار کردن به وجود MotW متکی هستند. به Dark Reading می گوید.

اشکال 1: MotW .ZIP Bypass، با پچ غیر رسمی

Dormann اولین مورد از دو مشکل دور زدن MotW را در 7 ژوئیه به مایکروسافت گزارش داد. به گفته وی، ویندوز نمی تواند MotW را برای فایل های استخراج شده از فایل های .ZIP ساخته شده خاص اعمال کند.

دورمن می‌گوید: «هر فایلی که در یک .ZIP وجود دارد را می‌توان به گونه‌ای پیکربندی کرد که وقتی استخراج می‌شود، حاوی علامت‌های MOTW نباشد». "این به مهاجم اجازه می دهد تا فایلی داشته باشد که به گونه ای عمل کند که به نظر برسد از اینترنت نیامده است." دورمن خاطرنشان می‌کند که این امر فریب کاربران را برای اجرای کد دلخواه در سیستم‌هایشان آسان‌تر می‌کند.

دورمن می‌گوید که نمی‌تواند جزئیات این باگ را به اشتراک بگذارد، زیرا این امر نشان می‌دهد که مهاجمان چگونه می‌توانند از این نقص استفاده کنند. اما او می گوید که همه نسخه های ویندوز از XP به بعد را تحت تاثیر قرار می دهد. او می‌گوید یکی از دلایلی که احتمالاً از مایکروسافت چیزی نشنیده، این است که این آسیب‌پذیری از طریق محیط اطلاعات آسیب‌پذیری و هماهنگی CERT (VINCE) به آن‌ها گزارش شده است، پلتفرمی که به گفته او مایکروسافت از استفاده از آن خودداری کرده است.

او هشدار می‌دهد: «من از اواخر جولای در CERT کار نکرده‌ام، بنابراین نمی‌توانم بگویم که آیا مایکروسافت از ماه جولای به بعد به هر طریقی با CERT تماس گرفته است یا خیر.

دورمن می گوید سایر محققان امنیتی گزارش داده اند که مهاجمان به طور فعال از این نقص سوء استفاده می کنند. یکی از آنها محقق امنیتی کوین بومونت، تحلیلگر سابق اطلاعات تهدیدات در مایکروسافت است. در اوایل این ماه، بومونت در توییتی از این نقص گزارش داد که در طبیعت مورد سوء استفاده قرار گرفته است.

"این بدون شک است احمقانه ترین روز صفری که در آن کار کردمبومونت گفت.

یک روز بعد، بومونت در توییت جداگانه‌ای گفت که می‌خواهد راهنمای تشخیص این مشکل را منتشر کند، اما نگران پیامدهای احتمالی است.

او هشدار داد: «اگر Emotet/Qakbot/etc آن را پیدا کنند، 100% از آن در مقیاس استفاده خواهند کرد.

مایکروسافت به دو درخواست Dark Reading برای نظر دادن درباره آسیب‌پذیری‌های گزارش‌شده دورمان یا اینکه آیا برنامه‌ای برای رفع آن‌ها دارد پاسخ نداد، اما شرکت امنیتی Acros Security مستقر در اسلوونی هفته گذشته یک پچ غیر رسمی منتشر کرد برای اولین آسیب‌پذیری از طریق پلتفرم 0patch آن.

میتجا کولسک، مدیرعامل و یکی از بنیانگذاران 0patch و Acros Security، در نظرات به Dark Reading، می‌گوید که توانسته آسیب‌پذیری‌ای را که دورمن در ماه جولای به مایکروسافت گزارش کرده بود، تأیید کند.

«بله، زمانی که آن را بدانید به طرز مضحکی آشکار است. به همین دلیل ما نمی‌خواستیم جزئیاتی را فاش کنیم.» او می‌گوید کدی که فایل‌های .ZIP را از حالت فشرده خارج می‌کند ناقص است و فقط یک وصله کد می‌تواند آن را برطرف کند. کولسک می گوید: «هیچ راه حلی وجود ندارد.

کولسک می‌گوید بهره‌برداری از این مسئله دشوار نیست، اما او اضافه می‌کند که آسیب‌پذیری به تنهایی برای یک حمله موفق کافی نیست. برای بهره برداری موفقیت آمیز، یک مهاجم همچنان باید کاربر را متقاعد کند که یک فایل را در یک بایگانی .ZIP ساخته شده به طور مخرب باز کند - که به عنوان یک پیوست از طریق ایمیل فیشینگ ارسال شده یا از یک درایو قابل جابجایی مانند یک حافظه USB کپی شده است.

او می‌گوید: «به طور معمول، تمام فایل‌های استخراج‌شده از یک آرشیو .ZIP که با MotW علامت‌گذاری شده‌اند نیز این علامت را دریافت می‌کنند و بنابراین هنگام باز یا راه‌اندازی یک هشدار امنیتی ایجاد می‌کنند، اما این آسیب‌پذیری قطعاً به مهاجمان راهی برای دور زدن حفاظت را می‌دهد. او می افزاید: «ما از هیچ شرایط تخفیف دهنده ای اطلاع نداریم.

اشکال 2: مخفیانه گذشته MotW با امضاهای خراب Authenticode

دومین آسیب‌پذیری شامل مدیریت فایل‌های دارای برچسب MotW است که دارای امضای دیجیتالی Authenticode هستند. Authenticode یک فناوری امضای کد مایکروسافت است که هویت ناشر یک نرم افزار خاص را تأیید می کند و تعیین می کند که آیا نرم افزار پس از انتشار دستکاری شده است یا خیر.

Dormann می‌گوید که کشف کرده است که اگر فایلی دارای امضای Authenticode ناقص باشد، ویندوز به گونه‌ای با آن برخورد می‌کند که گویی MotW ندارد. این آسیب‌پذیری باعث می‌شود که ویندوز قبل از اجرای فایل جاوا اسکریپت، از SmartScreen و دیگر پنجره‌های هشدار رد شود.

Dormann می‌گوید: «به نظر می‌رسد که ویندوز زمانی که هنگام پردازش داده‌های Authenticode با خطا مواجه می‌شود، «باز نمی‌شود» و «دیگر از محافظت‌های MotW برای فایل‌های دارای امضای Authenticode استفاده نمی‌کند، علی‌رغم اینکه آنها در واقع هنوز MotW را حفظ می‌کنند».

Dormann توضیح می دهد که این مشکل بر روی هر نسخه ویندوز از نسخه 10 به بعد تأثیر می گذارد، از جمله نوع سرور ویندوز سرور 2016. این آسیب پذیری راهی را به مهاجمان می دهد تا هر فایلی را که می تواند توسط Authenticode امضا شود به شیوه ای خراب امضا کند - مانند فایل های exe. و فایل های جاوا اسکریپت - و آن را پنهانی از حفاظت MOTW عبور دهید.

دورمن می‌گوید که پس از خواندن یک وبلاگ تحقیقاتی HP Threat Research در اوایل این ماه از این موضوع مطلع شده است کمپین باج افزار Magniber شامل بهره برداری برای نقص است.

مشخص نیست که آیا مایکروسافت اقدامی انجام می دهد یا خیر، اما در حال حاضر، محققان همچنان هشدار می دهند. دورمن می‌گوید: «من پاسخی رسمی از مایکروسافت دریافت نکرده‌ام، اما در عین حال، به‌طور رسمی موضوع را به مایکروسافت گزارش نکرده‌ام، زیرا دیگر کارمند CERT نیستم». به دلیل آسیب‌پذیری‌هایی که مهاجمان در طبیعت از آن استفاده می‌کنند، آن را به صورت عمومی از طریق توییتر اعلام کردم.»

تمبر زمان:

بیشتر از تاریک خواندن