Windowsin eri versioissa on kaksi erillistä haavoittuvuutta, joiden avulla hyökkääjät voivat hiipiä haitallisia liitteitä ja tiedostoja Microsoftin Mark of the Web (MOTW) -suojausominaisuuden ohi.
Hyökkääjät käyttävät molempia ongelmia aktiivisesti hyväkseen, sanoo Carnegie Mellonin yliopiston CERT-koordinointikeskuksen (CERT/CC) entinen ohjelmistohaavoittuvuuksien analyytikko Will Dormann, joka löysi kaksi vikaa. Mutta toistaiseksi Microsoft ei ole julkaissut niihin korjauksia, eikä organisaatioille ole saatavilla tunnettuja kiertotapoja suojellakseen itseään, sanoo tutkija, jonka on tunnustettu löytäneen lukuisia nollapäivän haavoittuvuuksia uransa aikana.
MotW-suojaukset epäluotettaville tiedostoille
MotW on Windowsin ominaisuus, joka on suunniteltu suojaamaan käyttäjiä epäluotettavista lähteistä tulevilta tiedostoilta. Merkki itsessään on piilotettu tunniste, jonka Windows liittää Internetistä ladattuihin tiedostoihin. MotW-tunnistetta sisältävien tiedostojen toiminta ja toiminta on rajoitettua. Esimerkiksi MS Office 10:stä alkaen MotW-merkityt tiedostot avautuvat oletusarvoisesti suojatussa näkymässä, ja Windows Defender tarkistaa suoritettavat tiedostot ensin suojausongelmien varalta, ennen kuin niiden sallitaan ajaa.
"Monet Windowsin suojausominaisuudet – [kuten] Microsoft Officen suojattu näkymä, SmartScreen, Smart App Control [ja] varoitusikkunat - luottavat MotW:n olemassaoloon toimiakseen", Dormann, joka on tällä hetkellä vanhempi haavoittuvuusanalyytikko Analygencessa, kertoo Dark Reading.
Virhe 1: MotW .ZIP Bypass, jossa on epävirallinen korjaustiedosto
Dormann ilmoitti ensimmäisestä kahdesta MotW:n ohitusongelmista Microsoftille 7. heinäkuuta. Hänen mukaansa Windows ei pysty soveltamaan MotW:tä tiedostoihin, jotka on purettu erityisesti muotoilluista .ZIP-tiedostoista.
"Kaikki .ZIP-tiedoston sisältämät tiedostot voidaan määrittää siten, että ne purettaessa eivät sisällä MOTW-merkintöjä", Dorman sanoo. "Tämä antaa hyökkääjälle mahdollisuuden saada tiedosto, joka toimii tavalla, joka saa vaikutelman, että se ei ole peräisin Internetistä." Tämän ansiosta heidän on helpompi huijata käyttäjiä suorittamaan mielivaltaista koodia järjestelmissään, Dormann huomauttaa.
Dormann sanoo, ettei voi kertoa vian yksityiskohtia, koska se paljastaisi, kuinka hyökkääjät voisivat hyödyntää virhettä. Mutta hän sanoo, että se vaikuttaa kaikkiin Windows-versioihin XP:stä alkaen. Hän sanoo, että yksi syy, miksi hän ei ole kuullut Microsoftista, on todennäköisesti se, että haavoittuvuudesta ilmoitettiin heille CERT:n haavoittuvuustieto- ja koordinointiympäristön (VINCE) kautta, alustan kautta, jota Microsoft on hänen mukaansa kieltäytynyt käyttämästä.
"En ole työskennellyt CERT:llä heinäkuun lopun jälkeen, joten en voi sanoa, onko Microsoft yrittänyt ottaa yhteyttä CERTiin millään tavalla heinäkuun jälkeen", hän varoittaa.
Dormann sanoo, että muut tietoturvatutkijat ovat raportoineet nähneensä hyökkääjien aktiivisesti hyödyntävän puutetta. Yksi heistä on tietoturvatutkija Kevin Beaumont, Microsoftin entinen uhkien tiedustelu-analyytikko. Beaumont ilmoitti aiemmin tässä kuussa twiitissään, että vikaa hyödynnettiin luonnossa.
"Tämä on epäilemättä typerin nollapäivä jonka olen työskennellyt”, Beaumont sanoi.
Erillisessä twiitissä päivää myöhemmin Beaumont sanoi haluavansa julkaista ongelman havaitsemisohjeet, mutta oli huolissaan mahdollisesta laskeumasta.
"Jos Emotet/Qakbot/etc löytää sen, he käyttävät sitä 100-prosenttisesti mittakaavassa", hän varoitti.
Microsoft ei vastannut kahteen Dark Reading -pyyntöön, joissa pyydettiin kommentoimaan Dormannin ilmoittamia haavoittuvuuksia tai aikooko se korjata ne, mutta slovenialainen tietoturvayritys Acros Security viime viikolla julkaisi epävirallisen korjaustiedoston tälle ensimmäiselle haavoittuvuudelle sen 0patch-korjausalustan kautta.
Kommenteissaan Dark Readingille Mitja Kolsek, 0patchin ja Acros Securityn toimitusjohtaja ja toinen perustaja, sanoo pystyneensä vahvistamaan haavoittuvuuden, jonka Dormann ilmoitti Microsoftille heinäkuussa.
"Kyllä, se on naurettavan ilmeistä, kun sen tietää. Siksi emme halunneet paljastaa mitään yksityiskohtia, hän sanoo. Hän sanoo, että .ZIP-tiedostojen purkamisen suorittava koodi on virheellinen ja vain koodikorjaus voi korjata sen. "Ei ole kiertotapoja", Kolsek sanoo.
Kolsekin mukaan ongelmaa ei ole vaikea hyödyntää, mutta hän lisää, että haavoittuvuus ei yksin riitä onnistuneeseen hyökkäykseen. Hyödynnä onnistuneesti hyökkääjän on silti saatava käyttäjä avaamaan tiedosto haitallisessa .ZIP-arkistossa. Se lähetetään liitteenä tietojenkalasteluviestissä tai kopioidaan siirrettävältä asemalta, kuten esimerkiksi USB-tikulta.
"Tavallisesti kaikki tiedostot, jotka puretaan .ZIP-arkistosta, joka on merkitty MotW:llä, saavat myös tämän merkin, joten ne laukaisivat suojausvaroituksen, kun ne avataan tai käynnistetään", hän sanoo, mutta haavoittuvuus antaa hyökkääjille ehdottomasti mahdollisuuden ohittaa suojauksen. "Emme ole tietoisia lieventävistä seikoista", hän lisää.
Virhe 2: MotW:n ohittaminen korruptoituneilla Authenticode-allekirjoituksilla
Toinen haavoittuvuus koskee MotW-merkittyjen tiedostojen käsittelyä, joissa on vioittuneet Authenticode-digitaaliset allekirjoitukset. Authenticode on Microsoftin koodin allekirjoitustekniikka joka todentaa tietyn ohjelmiston julkaisijan henkilöllisyyden ja määrittää, onko ohjelmistoa peukaloitu sen julkaisemisen jälkeen.
Dormann sanoo havainneensa, että jos tiedostossa on virheellisesti muotoiltu Authenticode-allekirjoitus, Windows käsittelee sitä ikään kuin sillä ei olisi MotW:tä; haavoittuvuus saa Windowsin ohittamaan SmartScreenin ja muut varoitusikkunat ennen JavaScript-tiedoston suorittamista.
"Windows näyttää epäonnistuvan, kun se kohtaa virheen [kun] käsittelee Authenticode-tietoja", Dormann sanoo, ja "se ei enää käytä MotW-suojauksia Authenticode-allekirjoitettuihin tiedostoihin, vaikka ne itse asiassa säilyttävätkin MotW:n."
Dormann kuvailee ongelman vaikuttavan kaikkiin Windows-versioihin versiosta 10 alkaen, mukaan lukien Windows Server 2016:n palvelinversio. Haavoittuvuus antaa hyökkääjille tavan allekirjoittaa kaikki tiedostot, jotka Authenticode voi allekirjoittaa korruptoituneella tavalla – kuten .exe-tiedostot. ja JavaScript-tiedostot – ja livahtaa ne MOTW-suojausten ohi.
Dormann kertoo saaneensa tietää ongelmasta lukemalla aiemmin tässä kuussa julkaistua HP Threat Research -blogia Magniber ransomware -kampanja johon liittyy virheen hyväksikäyttö.
On epäselvää, ryhtyykö Microsoft toimiin, mutta toistaiseksi tutkijat jatkavat hälytyksen nostamista. "En ole saanut virallista vastausta Microsoftilta, mutta samalla en ole virallisesti ilmoittanut ongelmasta Microsoftille, koska en ole enää CERT-työntekijä", Dormann sanoo. "Ilmoitin siitä julkisesti Twitterin kautta, koska hyökkääjät käyttävät haavoittuvuutta luonnossa."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
