Esistono due vulnerabilità separate in diverse versioni di Windows che consentono agli aggressori di intrufolarsi in allegati e file dannosi oltre la funzionalità di sicurezza Mark of the Web (MOTW) di Microsoft.
Gli aggressori stanno sfruttando attivamente entrambi i problemi, secondo Will Dormann, un ex analista di vulnerabilità del software presso il CERT Coordination Center (CERT/CC) presso la Carnegie Mellon University, che ha scoperto i due bug. Ma finora, Microsoft non ha rilasciato alcuna correzione per loro e non sono disponibili soluzioni alternative note per le organizzazioni per proteggersi, afferma il ricercatore, a cui è stato attribuito il merito di aver scoperto numerose vulnerabilità zero-day nel corso della sua carriera.
Protezioni MotW per file non attendibili
MotW è una funzionalità di Windows progettata per proteggere gli utenti da file provenienti da fonti non attendibili. Il marchio stesso lo è un tag nascosto che Windows allega ai file scaricati da Internet. I file che portano il tag MotW sono limitati in ciò che fanno e come funzionano. Ad esempio, a partire da MS Office 10, i file con tag MotW si aprono per impostazione predefinita in Visualizzazione protetta e gli eseguibili vengono prima controllati per problemi di sicurezza da Windows Defender prima di consentirne l'esecuzione.
"Molte funzionalità di sicurezza di Windows, [come] visualizzazione protetta di Microsoft Office, SmartScreen, Smart App Control e [e] finestre di dialogo di avviso, si basano sulla presenza del MotW per funzionare", Dormann, attualmente analista di vulnerabilità senior presso Analygence, dice Dark Reading.
Bug 1: bypass di MotW .ZIP, con patch non ufficiale
Dormann ha segnalato il primo dei due problemi di bypass di MotW a Microsoft il 7 luglio. Secondo lui, Windows non riesce ad applicare il MotW ai file estratti da file .ZIP appositamente predisposti.
"Qualsiasi file contenuto in un .ZIP può essere configurato in modo tale che, una volta estratto, non contenga contrassegni MOTW", afferma Dorman. "Ciò consente a un utente malintenzionato di avere un file che funzionerà in modo da far sembrare che non provenga da Internet". Ciò rende più facile per loro indurre gli utenti a eseguire codice arbitrario sui loro sistemi, osserva Dormann.
Dormann afferma di non poter condividere i dettagli del bug, perché ciò rivelerebbe come gli aggressori potrebbero sfruttare il difetto. Ma dice che interessa tutte le versioni di Windows da XP in poi. Dice che uno dei motivi per cui non ha sentito Microsoft probabilmente è perché la vulnerabilità è stata segnalata loro tramite Vulnerability Information and Coordination Environment (VINCE) del CERT, una piattaforma che secondo lui Microsoft si è rifiutata di utilizzare.
"Non lavoro al CERT da fine luglio, quindi non posso dire se Microsoft abbia tentato di contattare il CERT in qualsiasi modo da luglio in poi", avverte.
Dormann afferma che altri ricercatori di sicurezza hanno riferito di aver visto gli aggressori sfruttare attivamente il difetto. Uno di questi è il ricercatore di sicurezza Kevin Beaumont, un ex analista di intelligence sulle minacce presso Microsoft. In un thread di tweet all'inizio di questo mese, Beaumont ha segnalato che il difetto è stato sfruttato in natura.
“Questo è senza dubbio il il più stupido giorno zero su cui ho lavorato", ha detto Beaumont.
In un tweet separato il giorno dopo, Beaumont ha dichiarato di voler rilasciare una guida al rilevamento per il problema, ma era preoccupato per le potenziali ricadute.
"Se Emotet/Qakbot/etc lo trovano, lo utilizzeranno al 100% su larga scala", ha avvertito.
Microsoft non ha risposto a due richieste di Dark Reading in cerca di commenti sulle vulnerabilità segnalate da Dormann o se avesse in programma di affrontarle, ma la società di sicurezza slovena Acros Security la scorsa settimana ha rilasciato una patch non ufficiale per questa prima vulnerabilità tramite la sua piattaforma di patching 0patch.
Nei commenti a Dark Reading, Mitja Kolsek, CEO e co-fondatore di 0patch e Acros Security, afferma di essere stato in grado di confermare la vulnerabilità che Dormann ha segnalato a Microsoft a luglio.
“Sì, è ridicolmente ovvio una volta che lo sai. Ecco perché non volevamo rivelare alcun dettaglio”, dice. Dice che il codice che esegue la decompressione dei file .ZIP è difettoso e solo una patch del codice può risolverlo. "Non ci sono soluzioni alternative", afferma Kolsek.
Kolsek afferma che il problema non è difficile da sfruttare, ma aggiunge che la vulnerabilità da sola non è sufficiente per un attacco riuscito. Per sfruttare con successo, un utente malintenzionato dovrebbe comunque convincere un utente ad aprire un file in un archivio .ZIP pericoloso, inviato come allegato tramite un'e-mail di phishing o copiato da un'unità rimovibile come una chiavetta USB, ad esempio.
"Normalmente, tutti i file estratti da un archivio .ZIP contrassegnato con MotW otterrebbero anche questo marchio e quindi attiverebbero un avviso di sicurezza quando vengono aperti o avviati", afferma, ma la vulnerabilità consente sicuramente agli aggressori un modo per aggirare la protezione. "Non siamo a conoscenza di alcuna circostanza attenuante", aggiunge.
Bug 2: furtivamente passato MotW con firme Authenticode corrotte
La seconda vulnerabilità riguarda la gestione di file con tag MotW che hanno firme digitali Authenticode corrotte. Authenticode è una tecnologia di firma del codice Microsoft che autentica l'identità dell'editore di un particolare pezzo di software e determina se il software è stato manomesso dopo la sua pubblicazione.
Dormann dice di aver scoperto che se un file ha una firma Authenticode errata, verrà trattato da Windows come se non avesse MotW; la vulnerabilità fa sì che Windows salti SmartScreen e altre finestre di dialogo di avviso prima di eseguire un file JavaScript.
"Windows sembra 'non aprirsi' quando incontra un errore [durante] l'elaborazione dei dati Authenticode", afferma Dormann, e "non applicherà più le protezioni MotW ai file firmati Authenticode, nonostante in realtà mantengano ancora il MotW".
Dormann descrive il problema come un problema che interessa tutte le versioni di Windows dalla versione 10 in poi, inclusa la variante server di Windows Server 2016. La vulnerabilità offre agli aggressori un modo per firmare qualsiasi file che può essere firmato da Authenticode in modo corrotto, come i file .exe e file JavaScript — e sgattaiola oltre le protezioni MOTW.
Dormann afferma di aver appreso del problema dopo aver letto un blog di HP Threat Research all'inizio di questo mese su a Campagna ransomware Magniber implicando un exploit per il difetto.
Non è chiaro se Microsoft stia intervenendo, ma per ora i ricercatori continuano a lanciare l'allarme. "Non ho ricevuto una risposta ufficiale da Microsoft, ma allo stesso tempo non ho segnalato ufficialmente il problema a Microsoft, poiché non sono più un dipendente CERT", afferma Dormann. "L'ho annunciato pubblicamente tramite Twitter, a causa della vulnerabilità utilizzata dagli aggressori in natura".
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
