دو آسیبپذیری جداگانه در نسخههای مختلف ویندوز وجود دارد که به مهاجمان اجازه میدهد پیوستها و فایلهای مخرب را از ویژگی امنیتی مایکروسافت Mark of the Web (MOTW) پنهان کنند.
به گفته ویل دورمن، تحلیلگر آسیبپذیری نرمافزار سابق با مرکز هماهنگی CERT (CERT/CC) در دانشگاه کارنگی ملون، که این دو باگ را کشف کرد، مهاجمان فعالانه از هر دو موضوع سوء استفاده میکنند. اما تا کنون، مایکروسافت هیچ اصلاحی برای آنها صادر نکرده است، و هیچ راه حل شناخته شده ای برای سازمان ها برای محافظت از خود در دسترس نیست، این محقق که به کشف آسیب پذیری های روز صفر متعدد در زندگی حرفه ای خود نسبت داده شده است، می گوید.
محافظت های MotW برای فایل های غیرقابل اعتماد
MotW یک ویژگی ویندوز است که برای محافظت از کاربران در برابر فایل ها از منابع نامعتبر طراحی شده است. خود علامت است یک تگ مخفی که ویندوز ضمیمه می کند به فایل های دانلود شده از اینترنت فایلهایی که دارای برچسب MotW هستند، از نظر کاری و نحوه عملکرد محدود هستند. برای مثال، با شروع MS Office 10، فایلهای دارای برچسب MotW به طور پیشفرض در Protected View باز میشوند و فایلهای اجرایی ابتدا از نظر مسائل امنیتی توسط Windows Defender قبل از اینکه اجازه اجرا داشته باشند، بررسی میشوند.
Dormann که در حال حاضر یک تحلیلگر ارشد آسیبپذیری در Analygence است، «بسیاری از ویژگیهای امنیتی ویندوز - [مانند] Microsoft Office Protected View، SmartScreen، Smart App Control، [و] پنجرههای هشدار، برای کار کردن به وجود MotW متکی هستند. به Dark Reading می گوید.
اشکال 1: MotW .ZIP Bypass، با پچ غیر رسمی
Dormann اولین مورد از دو مشکل دور زدن MotW را در 7 ژوئیه به مایکروسافت گزارش داد. به گفته وی، ویندوز نمی تواند MotW را برای فایل های استخراج شده از فایل های .ZIP ساخته شده خاص اعمال کند.
دورمن میگوید: «هر فایلی که در یک .ZIP وجود دارد را میتوان به گونهای پیکربندی کرد که وقتی استخراج میشود، حاوی علامتهای MOTW نباشد». "این به مهاجم اجازه می دهد تا فایلی داشته باشد که به گونه ای عمل کند که به نظر برسد از اینترنت نیامده است." دورمن خاطرنشان میکند که این امر فریب کاربران را برای اجرای کد دلخواه در سیستمهایشان آسانتر میکند.
دورمن میگوید که نمیتواند جزئیات این باگ را به اشتراک بگذارد، زیرا این امر نشان میدهد که مهاجمان چگونه میتوانند از این نقص استفاده کنند. اما او می گوید که همه نسخه های ویندوز از XP به بعد را تحت تاثیر قرار می دهد. او میگوید یکی از دلایلی که احتمالاً از مایکروسافت چیزی نشنیده، این است که این آسیبپذیری از طریق محیط اطلاعات آسیبپذیری و هماهنگی CERT (VINCE) به آنها گزارش شده است، پلتفرمی که به گفته او مایکروسافت از استفاده از آن خودداری کرده است.
او هشدار میدهد: «من از اواخر جولای در CERT کار نکردهام، بنابراین نمیتوانم بگویم که آیا مایکروسافت از ماه جولای به بعد به هر طریقی با CERT تماس گرفته است یا خیر.
دورمن می گوید سایر محققان امنیتی گزارش داده اند که مهاجمان به طور فعال از این نقص سوء استفاده می کنند. یکی از آنها محقق امنیتی کوین بومونت، تحلیلگر سابق اطلاعات تهدیدات در مایکروسافت است. در اوایل این ماه، بومونت در توییتی از این نقص گزارش داد که در طبیعت مورد سوء استفاده قرار گرفته است.
"این بدون شک است احمقانه ترین روز صفری که در آن کار کردمبومونت گفت.
یک روز بعد، بومونت در توییت جداگانهای گفت که میخواهد راهنمای تشخیص این مشکل را منتشر کند، اما نگران پیامدهای احتمالی است.
او هشدار داد: «اگر Emotet/Qakbot/etc آن را پیدا کنند، 100% از آن در مقیاس استفاده خواهند کرد.
مایکروسافت به دو درخواست Dark Reading برای نظر دادن درباره آسیبپذیریهای گزارششده دورمان یا اینکه آیا برنامهای برای رفع آنها دارد پاسخ نداد، اما شرکت امنیتی Acros Security مستقر در اسلوونی هفته گذشته یک پچ غیر رسمی منتشر کرد برای اولین آسیبپذیری از طریق پلتفرم 0patch آن.
میتجا کولسک، مدیرعامل و یکی از بنیانگذاران 0patch و Acros Security، در نظرات به Dark Reading، میگوید که توانسته آسیبپذیریای را که دورمن در ماه جولای به مایکروسافت گزارش کرده بود، تأیید کند.
«بله، زمانی که آن را بدانید به طرز مضحکی آشکار است. به همین دلیل ما نمیخواستیم جزئیاتی را فاش کنیم.» او میگوید کدی که فایلهای .ZIP را از حالت فشرده خارج میکند ناقص است و فقط یک وصله کد میتواند آن را برطرف کند. کولسک می گوید: «هیچ راه حلی وجود ندارد.
کولسک میگوید بهرهبرداری از این مسئله دشوار نیست، اما او اضافه میکند که آسیبپذیری به تنهایی برای یک حمله موفق کافی نیست. برای بهره برداری موفقیت آمیز، یک مهاجم همچنان باید کاربر را متقاعد کند که یک فایل را در یک بایگانی .ZIP ساخته شده به طور مخرب باز کند - که به عنوان یک پیوست از طریق ایمیل فیشینگ ارسال شده یا از یک درایو قابل جابجایی مانند یک حافظه USB کپی شده است.
او میگوید: «به طور معمول، تمام فایلهای استخراجشده از یک آرشیو .ZIP که با MotW علامتگذاری شدهاند نیز این علامت را دریافت میکنند و بنابراین هنگام باز یا راهاندازی یک هشدار امنیتی ایجاد میکنند، اما این آسیبپذیری قطعاً به مهاجمان راهی برای دور زدن حفاظت را میدهد. او می افزاید: «ما از هیچ شرایط تخفیف دهنده ای اطلاع نداریم.
اشکال 2: مخفیانه گذشته MotW با امضاهای خراب Authenticode
دومین آسیبپذیری شامل مدیریت فایلهای دارای برچسب MotW است که دارای امضای دیجیتالی Authenticode هستند. Authenticode یک فناوری امضای کد مایکروسافت است که هویت ناشر یک نرم افزار خاص را تأیید می کند و تعیین می کند که آیا نرم افزار پس از انتشار دستکاری شده است یا خیر.
Dormann میگوید که کشف کرده است که اگر فایلی دارای امضای Authenticode ناقص باشد، ویندوز به گونهای با آن برخورد میکند که گویی MotW ندارد. این آسیبپذیری باعث میشود که ویندوز قبل از اجرای فایل جاوا اسکریپت، از SmartScreen و دیگر پنجرههای هشدار رد شود.
Dormann میگوید: «به نظر میرسد که ویندوز زمانی که هنگام پردازش دادههای Authenticode با خطا مواجه میشود، «باز نمیشود» و «دیگر از محافظتهای MotW برای فایلهای دارای امضای Authenticode استفاده نمیکند، علیرغم اینکه آنها در واقع هنوز MotW را حفظ میکنند».
Dormann توضیح می دهد که این مشکل بر روی هر نسخه ویندوز از نسخه 10 به بعد تأثیر می گذارد، از جمله نوع سرور ویندوز سرور 2016. این آسیب پذیری راهی را به مهاجمان می دهد تا هر فایلی را که می تواند توسط Authenticode امضا شود به شیوه ای خراب امضا کند - مانند فایل های exe. و فایل های جاوا اسکریپت - و آن را پنهانی از حفاظت MOTW عبور دهید.
دورمن میگوید که پس از خواندن یک وبلاگ تحقیقاتی HP Threat Research در اوایل این ماه از این موضوع مطلع شده است کمپین باج افزار Magniber شامل بهره برداری برای نقص است.
مشخص نیست که آیا مایکروسافت اقدامی انجام می دهد یا خیر، اما در حال حاضر، محققان همچنان هشدار می دهند. دورمن میگوید: «من پاسخی رسمی از مایکروسافت دریافت نکردهام، اما در عین حال، بهطور رسمی موضوع را به مایکروسافت گزارش نکردهام، زیرا دیگر کارمند CERT نیستم». به دلیل آسیبپذیریهایی که مهاجمان در طبیعت از آن استفاده میکنند، آن را به صورت عمومی از طریق توییتر اعلام کردم.»