Dua kerentanan terpisah ada di versi Windows yang berbeda yang memungkinkan penyerang menyelinap lampiran dan file berbahaya melewati fitur keamanan Mark of the Web (MOTW) Microsoft.
Penyerang secara aktif mengeksploitasi kedua masalah, menurut Will Dormann, mantan analis kerentanan perangkat lunak dengan CERT Coordination Center (CERT/CC) di Carnegie Mellon University, yang menemukan kedua bug tersebut. Namun sejauh ini, Microsoft belum mengeluarkan perbaikan apa pun untuk mereka, dan tidak ada solusi yang diketahui tersedia bagi organisasi untuk melindungi diri mereka sendiri, kata peneliti, yang telah dikreditkan dengan menemukan banyak kerentanan zero-day selama karirnya.
Perlindungan MotW untuk File Tidak Tepercaya
MotW adalah fitur Windows yang dirancang untuk melindungi pengguna dari file dari sumber yang tidak tepercaya. Tanda itu sendiri adalah tag tersembunyi yang dilampirkan Windows ke file yang diunduh dari Internet. File yang membawa tag MotW dibatasi dalam apa yang mereka lakukan dan bagaimana fungsinya. Misalnya, dimulai dengan MS Office 10, file bertanda MotW terbuka secara default di Tampilan Terproteksi, dan file yang dapat dieksekusi diperiksa terlebih dahulu untuk masalah keamanan oleh Windows Defender sebelum diizinkan untuk dijalankan.
โBanyak fitur keamanan Windows โ [seperti] tampilan Microsoft Office Protected, SmartScreen, Kontrol Aplikasi Cerdas, [dan] dialog peringatan โ bergantung pada kehadiran MotW untuk berfungsi,โ Dormann, yang saat ini menjadi analis kerentanan senior di Analygence, menceritakan Bacaan Gelap.
Bug 1: MotW .ZIP Bypass, dengan Patch Tidak Resmi
Dormann melaporkan yang pertama dari dua masalah bypass MotW ke Microsoft pada 7 Juli. Menurutnya, Windows gagal menerapkan MotW ke file yang diekstraksi dari file .ZIP yang dibuat secara khusus.
โSetiap file yang terdapat dalam .ZIP dapat dikonfigurasi sedemikian rupa sehingga ketika diekstraksi, tidak akan mengandung tanda MOTW,โ kata Dorman. โIni memungkinkan penyerang memiliki file yang akan beroperasi dengan cara yang membuatnya tampak tidak berasal dari Internet.โ Ini memudahkan mereka untuk mengelabui pengguna agar menjalankan kode arbitrer di sistem mereka, catat Dormann.
Dormann mengatakan dia tidak dapat membagikan detail bug, karena itu akan memberi tahu bagaimana penyerang dapat memanfaatkan kelemahannya. Tapi dia bilang itu mempengaruhi semua versi Windows dari XP. Dia mengatakan satu alasan dia belum mendengar dari Microsoft kemungkinan adalah karena kerentanan dilaporkan kepada mereka melalui Informasi Kerentanan dan Lingkungan Koordinasi (VINCE), sebuah platform yang dia katakan Microsoft telah menolak untuk digunakan.
โSaya belum bekerja di CERT sejak akhir Juli, jadi saya tidak bisa mengatakan apakah Microsoft telah mencoba menghubungi CERT dengan cara apapun mulai Juli,โ dia memperingatkan.
Dormann mengatakan peneliti keamanan lainnya telah melaporkan melihat penyerang secara aktif mengeksploitasi kelemahan tersebut. Salah satunya adalah peneliti keamanan Kevin Beaumont, mantan analis intelijen ancaman di Microsoft. Dalam utas tweet awal bulan ini, Beaumont melaporkan cacat itu dieksploitasi di alam liar.
โIni tanpa diragukan lagiโ hari nol terbodoh yang pernah saya kerjakan,โ kata Beaumont.
Dalam tweet terpisah sehari kemudian, Beaumont mengatakan dia ingin merilis panduan deteksi untuk masalah ini tetapi khawatir tentang potensi dampaknya.
โJika Emotet/Qakbot/etc menemukannya, mereka akan 100% menggunakannya dalam skala besar,โ dia memperingatkan.
Microsoft tidak menanggapi dua permintaan Bacaan Gelap yang meminta komentar tentang kerentanan yang dilaporkan Dormann atau apakah mereka memiliki rencana untuk mengatasinya, tetapi perusahaan keamanan Acros Security yang berbasis di Slovenia pekan lalu merilis tambalan tidak resmi untuk kerentanan pertama ini melalui platform patching 0patch-nya.
Dalam komentarnya kepada Dark Reading, Mitja Kolsek, CEO dan salah satu pendiri 0patch dan Acros Security, mengatakan dia dapat mengkonfirmasi kerentanan yang dilaporkan Dormann ke Microsoft pada bulan Juli.
โYa, itu sangat jelas setelah kamu mengetahuinya. Itu sebabnya kami tidak ingin mengungkapkan detail apa pun, โkatanya. Dia mengatakan kode yang melakukan unzip file .ZIP cacat dan hanya patch kode yang dapat memperbaikinya. โTidak ada solusi,โ kata Kolsek.
Kolsek mengatakan masalah ini tidak sulit untuk dieksploitasi, tetapi dia menambahkan kerentanan saja tidak cukup untuk serangan yang berhasil. Agar berhasil mengeksploitasi, penyerang masih perlu meyakinkan pengguna untuk membuka file dalam arsip .ZIP yang dibuat dengan jahat โ dikirim sebagai lampiran melalui email phishing atau disalin dari drive yang dapat dilepas seperti stik USB misalnya.
โBiasanya, semua file yang diekstrak dari arsip .ZIP yang ditandai dengan MotW juga akan mendapatkan tanda ini dan oleh karena itu akan memicu peringatan keamanan saat dibuka atau diluncurkan,โ katanya, tetapi kerentanan pasti memungkinkan penyerang untuk melewati perlindungan. โKami tidak mengetahui adanya keadaan yang meringankan,โ tambahnya.
Bug 2: Menyelinap Melewati MotW Dengan Tanda Tangan Kode Otentikasi yang Rusak
Kerentanan kedua melibatkan penanganan file yang diberi tag MotW yang memiliki tanda tangan digital Authenticode yang rusak. Authenticode adalah teknologi penandatanganan kode Microsoft yang mengotentikasi identitas penerbit perangkat lunak tertentu dan menentukan apakah perangkat lunak tersebut dirusak setelah diterbitkan.
Dormann mengatakan dia menemukan bahwa jika sebuah file memiliki tanda tangan Authenticode yang salah, itu akan diperlakukan oleh Windows seolah-olah tidak memiliki MotW; kerentanan menyebabkan Windows melewatkan SmartScreen dan dialog peringatan lainnya sebelum menjalankan file JavaScript.
โWindows tampaknya 'gagal terbuka' ketika menemukan kesalahan [saat] memproses data Authenticode,โ kata Dormann, dan โitu tidak akan lagi menerapkan perlindungan MotW ke file yang ditandatangani Authenticode, meskipun mereka sebenarnya masih mempertahankan MotW.โ
Dormann menjelaskan masalah ini memengaruhi setiap versi Windows mulai dari versi 10, termasuk varian server Windows Server 2016. Kerentanan ini memberi penyerang cara untuk menandatangani file apa pun yang dapat ditandatangani oleh Authenticode dengan cara yang rusak โ seperti file .exe dan file JavaScript โ dan menyelinap melewati perlindungan MOTW.
Dormann mengatakan dia mengetahui masalah ini setelah membaca blog HP Threat Research awal bulan ini tentang a Kampanye ransomware Magniber melibatkan eksploitasi untuk cacat.
Tidak jelas apakah Microsoft akan mengambil tindakan, tetapi untuk saat ini, para peneliti terus membunyikan alarm. โSaya belum menerima tanggapan resmi dari Microsoft, tetapi pada saat yang sama, saya belum secara resmi melaporkan masalah ini ke Microsoft, karena saya bukan lagi karyawan CERT,โ kata Dormann. โSaya mengumumkannya secara terbuka melalui Twitter, karena kerentanan yang digunakan oleh penyerang di alam liar.โ
