Il existe deux vulnérabilités distinctes dans différentes versions de Windows qui permettent aux attaquants de faufiler des pièces jointes et des fichiers malveillants au-delà de la fonctionnalité de sécurité Mark of the Web (MOTW) de Microsoft.
Les attaquants exploitent activement ces deux problèmes, selon Will Dormann, ancien analyste des vulnérabilités logicielles au centre de coordination CERT (CERT/CC) de l'université Carnegie Mellon, qui a découvert les deux bogues. Mais jusqu'à présent, Microsoft n'a publié aucun correctif pour ces problèmes, et aucune solution de contournement connue n'est disponible pour permettre aux organisations de se protéger, explique le chercheur, à qui l'on attribue la découverte de nombreuses vulnérabilités zero-day au cours de sa carrière.
Protections MotW pour les fichiers non fiables
MotW est une fonctionnalité Windows conçue pour protéger les utilisateurs contre les fichiers provenant de sources non fiables. La marque elle-même est une balise cachée que Windows attache aux fichiers téléchargés sur Internet. Les fichiers qui portent la balise MotW sont limités dans ce qu'ils font et comment ils fonctionnent. Par exemple, à partir de MS Office 10, les fichiers marqués MotW s'ouvrent par défaut en mode protégé et les exécutables sont d'abord vérifiés pour les problèmes de sécurité par Windows Defender avant d'être autorisés à s'exécuter.
"De nombreuses fonctionnalités de sécurité Windows - [telles que] la vue protégée de Microsoft Office, SmartScreen, Smart App Control, [et] les boîtes de dialogue d'avertissement - dépendent de la présence du MotW pour fonctionner", Dormann, qui est actuellement analyste principal des vulnérabilités chez Analysgence, raconte Dark Reading.
Bug 1 : contournement MotW .ZIP, avec correctif non officiel
Dormann a signalé le premier des deux problèmes de contournement de MotW à Microsoft le 7 juillet. Selon lui, Windows ne parvient pas à appliquer le MotW aux fichiers extraits de fichiers .ZIP spécialement conçus.
"Tout fichier contenu dans un .ZIP peut être configuré de manière à ce que lors de son extraction, il ne contienne pas de marquage MOTW", explique Dorman. "Cela permet à un attaquant de disposer d'un fichier qui fonctionnera de manière à donner l'impression qu'il ne provient pas d'Internet." Cela leur permet d'inciter plus facilement les utilisateurs à exécuter du code arbitraire sur leurs systèmes, note Dormann.
Dormann dit qu'il ne peut pas partager les détails du bug, car cela révélerait comment les attaquants pourraient exploiter la faille. Mais il dit que cela affecte toutes les versions de Windows à partir de XP. Il dit que l'une des raisons pour lesquelles il n'a pas eu de nouvelles de Microsoft est probablement parce que la vulnérabilité leur a été signalée via l'environnement d'information et de coordination des vulnérabilités (VINCE) du CERT, une plate-forme que Microsoft a refusé d'utiliser.
"Je n'ai pas travaillé au CERT depuis fin juillet, donc je ne peux pas dire si Microsoft a tenté de contacter le CERT de quelque manière que ce soit à partir de juillet", prévient-il.
Dormann affirme que d'autres chercheurs en sécurité ont rapporté avoir vu des attaquants exploiter activement la faille. L'un d'eux est le chercheur en sécurité Kevin Beaumont, ancien analyste du renseignement sur les menaces chez Microsoft. Dans un fil de tweet plus tôt ce mois-ci, Beaumont a signalé que la faille était exploitée à l'état sauvage.
«C'est sans aucun doute le Le jour zéro le plus stupide sur lequel j'ai travaillé", a déclaré Beaumont.
Dans un tweet séparé un jour plus tard, Beaumont a déclaré qu'il souhaitait publier des conseils de détection pour le problème, mais qu'il était préoccupé par les retombées potentielles.
« Si Emotet/Qakbot/etc le trouvent, ils l'utiliseront à 100 % à grande échelle », a-t-il prévenu.
Microsoft n'a pas répondu à deux demandes de Dark Reading sollicitant des commentaires sur les vulnérabilités signalées par Dormann ou si elle envisageait d'y remédier, mais la société de sécurité basée en Slovénie Acros Security a déclaré la semaine dernière a publié un patch non officiel pour cette première vulnérabilité via sa plateforme de patching 0patch.
Dans des commentaires sur Dark Reading, Mitja Kolsek, PDG et co-fondateur de 0patch et Acros Security, affirme avoir pu confirmer la vulnérabilité signalée par Dormann à Microsoft en juillet.
« Oui, c’est ridiculement évident une fois qu’on le sait. C'est pourquoi nous n'avons voulu révéler aucun détail », dit-il. Il dit que le code effectuant la décompression des fichiers .ZIP est défectueux et que seul un correctif de code peut résoudre ce problème. «Il n'existe aucune solution de contournement», déclare Kolsek.
Kolsek affirme que le problème n'est pas difficile à exploiter, mais il ajoute que la vulnérabilité à elle seule ne suffit pas pour réussir une attaque. Pour réussir l'exploitation, un attaquant devra toujours convaincre un utilisateur d'ouvrir un fichier dans une archive .ZIP conçue de manière malveillante, envoyée en pièce jointe via un e-mail de phishing ou copiée à partir d'un lecteur amovible tel qu'une clé USB par exemple.
"Normalement, tous les fichiers extraits d'une archive .ZIP marquée MotW recevraient également cette marque et déclencheraient donc un avertissement de sécurité lors de leur ouverture ou de leur lancement", dit-il, mais la vulnérabilité permet définitivement aux attaquants de contourner la protection. "Nous n'avons connaissance d'aucune circonstance atténuante", ajoute-t-il.
Bug 2 : se faufiler devant MotW avec des signatures Authenticode corrompues
La deuxième vulnérabilité implique la gestion de fichiers balisés MotW qui ont des signatures numériques Authenticode corrompues. Authenticode est une technologie de signature de code Microsoft qui authentifie l'identité de l'éditeur d'un logiciel particulier et détermine si le logiciel a été falsifié après sa publication.
Dormann dit avoir découvert que si un fichier a une signature Authenticode mal formée, il sera traité par Windows comme s'il n'avait pas de MotW ; la vulnérabilité amène Windows à ignorer SmartScreen et d'autres boîtes de dialogue d'avertissement avant d'exécuter un fichier JavaScript.
"Windows semble échouer lorsqu'il rencontre une erreur [lors du] traitement des données Authenticode", explique Dormann, et "il n'appliquera plus les protections MotW aux fichiers signés Authenticode, bien qu'ils conservent toujours le MotW."
Dormann décrit le problème comme affectant toutes les versions de Windows à partir de la version 10, y compris la variante serveur de Windows Server 2016. La vulnérabilité donne aux attaquants un moyen de signer n'importe quel fichier pouvant être signé par Authenticode de manière corrompue, comme les fichiers .exe. et les fichiers JavaScript – et passez-les au-delà des protections MOTW.
Dormann dit avoir pris connaissance du problème après avoir lu un blog de HP Threat Research publié au début du mois à propos d'un Campagne contre le rançongiciel Magniber impliquant un exploit pour la faille.
On ne sait pas si Microsoft prend des mesures, mais pour l'instant, les chercheurs continuent de tirer la sonnette d'alarme. "Je n'ai pas reçu de réponse officielle de Microsoft, mais en même temps, je n'ai pas officiellement signalé le problème à Microsoft, car je ne suis plus un employé du CERT", déclare Dormann. "Je l'ai annoncé publiquement via Twitter, en raison de la vulnérabilité utilisée par les attaquants dans la nature."
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
