A Windows különböző verzióiban két különálló sebezhetőség található, amelyek lehetővé teszik a támadók számára, hogy a Microsoft Mark of the Web (MOTW) biztonsági funkcióján túl rosszindulatú mellékleteket és fájlokat csaljanak ki.
Will Dormann, a Carnegie Mellon Egyetem CERT Koordinációs Központjának (CERT/CC) korábbi szoftversebezhetőség-elemzője szerint a támadók mindkét problémát aktívan kihasználják, aki felfedezte a két hibát. Ám ez idáig a Microsoft semmilyen javítást nem adott ki rájuk, és nem állnak rendelkezésre ismert megoldások a szervezetek védelmére – állítja a kutató, akinek nevéhez fűződik számos nulladik napi sebezhetőség felfedezése pályafutása során.
MotW védelme nem megbízható fájlokhoz
A MotW egy Windows-szolgáltatás, amely a felhasználók védelmét szolgálja a nem megbízható forrásokból származó fájlok ellen. Maga a jel az rejtett címke, amelyet a Windows csatol az internetről letöltött fájlokhoz. A MotW címkét hordozó fájlok tevékenysége és működése korlátozott. Például az MS Office 10-től kezdve a MotW-címkével ellátott fájlok alapértelmezés szerint megnyílnak védett nézetben, és a futtatható fájlokat a Windows Defender először ellenőrzi biztonsági problémák szempontjából, mielőtt engedélyezné a futtatást.
„Sok Windows biztonsági funkció – [például] Microsoft Office védett nézet, SmartScreen, Smart App Control [és] figyelmeztető párbeszédpanelek – a MotW meglétére támaszkodik, hogy működjön” – mondta Dormann, aki jelenleg az Analygence sebezhetőségi elemzője. mondja a Dark Reading.
1. hiba: MotW .ZIP Bypass, nem hivatalos javítással
Dormann július 7-én jelentette a Microsoftnak a két MotW bypass probléma közül az elsőt. Elmondása szerint a Windows nem alkalmazza a MotW-t a speciálisan kialakított .ZIP fájlokból kivont fájlokra.
„A .ZIP-ben található fájlokat be lehet állítani úgy, hogy kibontáskor ne tartalmazzon MOTW-jelöléseket” – mondja Dorman. "Ez lehetővé teszi a támadó számára, hogy olyan fájlokkal rendelkezzen, amelyek úgy működnek, hogy úgy tűnik, nem az internetről származnak." Ez megkönnyíti számukra, hogy rávegyék a felhasználókat tetszőleges kód futtatására a rendszerükön – jegyzi meg Dormann.
Dormann azt mondja, hogy nem tud részleteket megosztani a hibáról, mert az elárulná, hogyan tudnák a támadók kihasználni a hibát. De azt mondja, hogy ez a Windows összes verzióját érinti XP-től kezdve. Azt mondja, az egyik ok, amiért nem hallott a Microsofttól, az az, hogy a sebezhetőséget a CERT Vulnerability Information and Coordination Environment (VINCE) platformján keresztül jelentették nekik, amely platformon a Microsoft megtagadta a használatát.
„Július vége óta nem dolgozom a CERT-nél, így nem tudom megmondani, hogy a Microsoft júliustól megpróbált-e bármilyen módon kapcsolatba lépni a CERT-vel” – figyelmeztet.
Dormann szerint más biztonsági kutatók arról számoltak be, hogy támadók aktívan kihasználták a hibát. Egyikük Kevin Beaumont biztonságkutató, a Microsoft egykori fenyegetések hírszerzési elemzője. A hónap elején egy tweet-szálban Beaumont arról számolt be, hogy a hibát a vadonban használták ki.
„Ez kétségtelenül a a leghülyébb nulladik nap, amin dolgoztam– mondta Beaumont.
Egy nappal később egy külön tweetben Beaumont azt mondta, hogy szeretné közzétenni az észlelési útmutatást a problémához, de aggódik a lehetséges következmények miatt.
„Ha az Emotet/Qakbot/etc megtalálja, 100%-ban nagy mennyiségben fogják használni” – figyelmeztetett.
A Microsoft nem válaszolt két Dark Reading megkeresésre, amelyekben a Dormann által jelentett sebezhetőségekkel kapcsolatban, illetve arról, hogy tervezik-e ezeket a problémákat, de a múlt héten a szlovéniai székhelyű biztonsági cég, az Acros Security nem válaszolt. kiadott egy nem hivatalos javítást erre az első sebezhetőségre a 0patch javítóplatformján keresztül.
Mitja Kolsek, a 0patch és az Acros Security vezérigazgatója és társalapítója a Dark Readingnek adott megjegyzéseiben azt mondja, hogy sikerült megerősítenie a sérülékenységet, amelyet Dormann júliusban jelentett a Microsoftnak.
„Igen, ez nevetségesen nyilvánvaló, ha egyszer ismered. Ezért nem akartunk részleteket elárulni” – mondja. Azt mondja, a .ZIP fájlok kicsomagolását végző kód hibás, és ezt csak egy kódjavító javíthatja. „Nincsenek megkerülő megoldások” – mondja Kolsek.
Kolsek szerint a problémát nem nehéz kihasználni, de hozzáteszi, hogy a sebezhetőség önmagában nem elég a sikeres támadáshoz. A sikeres kihasználáshoz a támadónak továbbra is rá kell vennie a felhasználót, hogy nyissa meg a fájlt egy rosszindulatú .ZIP-archívumban – amelyet mellékletként küldenek el adathalász e-mailben, vagy másolják cserélhető meghajtóról, például USB-meghajtóról.
"Általában a MotW jelzésű .ZIP archívumból kivont összes fájl is megkapja ezt a jelölést, és ezért biztonsági figyelmeztetést vált ki megnyitáskor vagy indításkor" - mondja, de a biztonsági rés határozottan lehetővé teszi a támadók számára, hogy megkerüljék a védelmet. "Nem tudunk enyhítő körülményről" - teszi hozzá.
2. hiba: A MotW túlélése sérült hitelesítőkód-aláírásokkal
A második biztonsági rés a MotW címkével ellátott fájlok kezelését jelenti, amelyek sérült Authenticode digitális aláírást tartalmaznak. Az Authenticode a Microsoft kód-aláíró technológiája amely hitelesíti egy adott szoftver kiadójának kilétét, és meghatározza, hogy a szoftvert a közzététel után manipulálták-e.
Dormann azt mondja, felfedezte, hogy ha egy fájl hibásan formázott hitelesítőkód-aláírást tartalmaz, a Windows úgy kezeli, mintha nem lenne MotW-je; A biztonsági rés miatt a Windows kihagyja a SmartScreen-t és más figyelmeztető párbeszédpaneleket, mielőtt JavaScript-fájlt futtatna.
„Úgy tűnik, hogy a Windows „meghibásodik”, amikor hibát észlel [az Authenticode-adatok feldolgozása során]” – mondja Dormann, és „többé nem alkalmaz MotW-védelmet az Authenticode-al aláírt fájlokra, annak ellenére, hogy azok továbbra is megtartják a MotW-t.”
Dormann leírása szerint a probléma a Windows minden verzióját érinti a 10-es verziótól kezdve, beleértve a Windows Server 2016 szerverváltozatát is. A biztonsági rés lehetőséget ad a támadóknak, hogy aláírjanak minden olyan fájlt, amelyet Authenticode aláírhat korrupt módon – például .exe fájlokat. és JavaScript fájlokat – és átvigye azokat a MOTW védelmén.
Dormann azt mondja, hogy azután értesült a problémáról, hogy elolvasta a HP Threat Research blogját a hónap elején, amely a Magniber ransomware kampány a hiba kihasználásával jár.
Nem világos, hogy a Microsoft tesz-e lépéseket, de egyelőre a kutatók továbbra is riasztanak. „Nem kaptam hivatalos választ a Microsofttól, ugyanakkor hivatalosan nem jelentettem a problémát a Microsoftnak, mivel már nem vagyok CERT-alkalmazott” – mondja Dormann. "Nyilvánosan bejelentettem a Twitteren, mivel a támadók a vadonban használják a sebezhetőséget."
