קיימות שתי נקודות תורפה נפרדות בגירסאות שונות של Windows המאפשרות לתוקפים להגניב קבצים מצורפים וקבצים זדוניים מעבר לתכונת האבטחה Mark of the Web (MOTW) של מיקרוסופט.
התוקפים מנצלים באופן פעיל את שתי הבעיות, לדברי וויל דורמן, מנתח פגיעות תוכנה לשעבר עם מרכז התיאום CERT (CERT/CC) באוניברסיטת קרנגי מלון, שגילה את שני הבאגים. אבל עד כה, מיקרוסופט לא פרסמה שום תיקונים עבורם, ואין דרכים ידועות זמינות עבור ארגונים כדי להגן על עצמם, אומר החוקר, שזכה לגילוי נקודות תורפה רבות במהלך הקריירה שלו.
הגנות MotW עבור קבצים לא מהימנים
MotW היא תכונת Windows שנועדה להגן על משתמשים מפני קבצים ממקורות לא מהימנים. הסימן עצמו הוא תג נסתר ש-Windows מצרף לקבצים שהורדו מהאינטרנט. קבצים הנושאים את תג MotW מוגבלים במה שהם עושים ואיך הם פועלים. לדוגמה, החל מ-MS Office 10, קבצים מתויגים MotW נפתחים כברירת מחדל ב-Protected View, וקובצי הפעלה נבדקים תחילה עבור בעיות אבטחה על ידי Windows Defender לפני שהם מורשים לפעול.
"תכונות אבטחה רבות של Windows - [כגון] Microsoft Office Protected View, SmartScreen, Smart App Control, [ו] דיאלוגים אזהרה - מסתמכים על נוכחות ה-MotW כדי לתפקד," דורמן, שהוא כיום מנתח פגיעות בכיר ב-Analygence, אומר Dark Reading.
באג 1: MotW .ZIP Bypass, עם תיקון לא רשמי
דורמן דיווח למיקרוסופט על הראשונה מבין שתי בעיות עקיפת ה-MotW ב-7 ביולי. לדבריו, Windows לא מצליחה להחיל את ה-MotW על קבצים שחולצו מקובצי .ZIP בעלי מבנה ספציפי.
"כל קובץ הכלול ב-.ZIP יכול להיות מוגדר באופן שכאשר הוא נחלץ, הוא לא יכיל סימוני MOTW", אומר דורמן. "זה מאפשר לתוקף לקבל קובץ שיפעל באופן שייראה שהוא לא הגיע מהאינטרנט." זה מקל עליהם להערים על משתמשים להפעיל קוד שרירותי במערכות שלהם, מציין דורמן.
דורמן אומר שהוא לא יכול לחלוק פרטים על הבאג, כי זה יסגיר איך התוקפים יכולים למנף את הפגם. אבל הוא אומר שזה משפיע על כל הגרסאות של Windows החל מ-XP ואילך. הוא אומר שאחת הסיבות לכך שהוא לא שמע ממיקרוסופט היא ככל הנראה בגלל שהפגיעות דווחה להם באמצעות סביבת המידע והתיאום של CERT (VINCE), פלטפורמה שלדבריו מיקרוסופט סירבה להשתמש בה.
"לא עבדתי ב-CERT מאז סוף יולי, אז אני לא יכול לומר אם מיקרוסופט ניסתה ליצור קשר עם CERT בדרך כלשהי מיולי ואילך", הוא מזהיר.
דורמן אומר כי חוקרי אבטחה אחרים דיווחו שראו תוקפים מנצלים את הפגם באופן פעיל. אחד מהם הוא חוקר האבטחה קווין ביומונט, אנליסט לשעבר של מודיעין איומים במיקרוסופט. בשרשור ציוץ מוקדם יותר החודש, ביומונט דיווח על הפגם מנוצל בטבע.
"זהו ללא ספק ה יום האפס הכי מטופש שעבדתי עליו"אמר בומונט.
בציוץ נפרד יממה לאחר מכן, אמר ביומונט שהוא רוצה לפרסם הנחיות זיהוי לנושא, אבל הוא מודאג מהנפילה הפוטנציאלית.
"אם Emotet/Qakbot/וכו' ימצאו אותו הם ישתמשו בו ב-100% בקנה מידה גדול", הזהיר.
מיקרוסופט לא הגיבה לשתי בקשות Dark Reading שביקשו להגיב על נקודות התורפה המדווחות של דורמן או אם יש לה תוכניות לטפל בהן, אבל חברת האבטחה Acros Security מסלובנית בשבוע שעבר. שחרר תיקון לא רשמי לפגיעות ראשונה זו באמצעות פלטפורמת התיקון 0patch שלה.
בהערות ל-Dark Reading, Mitja Kolsek, מנכ"ל ומייסד שותף של 0patch ו-Acros Security, אומר שהוא הצליח לאשר את הפגיעות שעליה דיווח דורמן למיקרוסופט ביולי.
"כן, זה ברור עד כדי גיחוך ברגע שאתה יודע את זה. לכן לא רצינו לחשוף שום פרט”, הוא אומר. הוא אומר שהקוד שמבצע את פתיחת קובצי ה-ZIP פגום ורק תיקון קוד יכול לתקן את זה. "אין דרכים לעקיפת הבעיה", אומר קולסק.
קולסק אומר שהנושא לא קשה לניצול, אבל הוא מוסיף שהפגיעות לבדה אינה מספיקה להתקפה מוצלחת. כדי לנצל בהצלחה, תוקף עדיין יצטרך לשכנע משתמש לפתוח קובץ בארכיון .ZIP בעל מבנה זדוני - נשלח כקובץ מצורף באמצעות דואר דיוג או מועתק מכונן נשלף כגון מקל USB.
"בדרך כלל, כל הקבצים שחולצו מארכיון .ZIP המסומן ב-MotW יקבלו גם את הסימן הזה ולכן יפעילו אזהרת אבטחה בעת פתיחה או הפעלה", הוא אומר, אבל הפגיעות בהחלט מאפשרת לתוקפים דרך לעקוף את ההגנה. "איננו מודעים לנסיבות מקלות כלשהן", הוא מוסיף.
באג 2: התגנבות מעבר ל-MoW עם חתימות קוד אותנטי פגומות
הפגיעות השנייה כוללת טיפול בקבצים מתויגים MotW שיש להם חתימות דיגיטליות Authenticode פגומות. Authenticode היא טכנולוגיית חתימת קוד של מיקרוסופט המאמת את זהות המוציא לאור של תוכנה מסוימת וקובע אם התוכנה טופלה לאחר פרסומה.
דורמן אומר שהוא גילה שאם לקובץ יש חתימת Authenticode פגומה, הוא יטופל על ידי Windows כאילו אין לו MotW; הפגיעות גורמת ל-Windows לדלג על SmartScreen ודיאלוגים אזהרה אחרים לפני ביצוע קובץ JavaScript.
"נראה ש-Windows 'נכשל נפתח' כאשר הוא נתקל בשגיאה [בעת] עיבוד נתוני Authenticode," אומר דורמן, ו"הוא לא יחיל עוד הגנות MotW על קבצים חתומים על Authenticode, למרות שהם למעשה עדיין שומרים על MotW."
דורמן מתאר את הבעיה כמשפיעה על כל גרסה של Windows מגרסה 10 ואילך, כולל גרסת השרת של Windows Server 2016. הפגיעות נותנת לתוקפים דרך לחתום על כל קובץ שניתן לחתום על ידי Authenticode בצורה פגומה - כגון קבצי .exe וקובצי JavaScript - ולהגניב אותו מעבר להגנות MOTW.
דורמן אומר שלמד על הנושא לאחר שקרא בלוג של HP Threat Research מתחילת החודש על א קמפיין תוכנת כופר של Magniber הכרוך בניצול לפגם.
לא ברור אם מיקרוסופט נוקטת בפעולה, אך לעת עתה, החוקרים ממשיכים להפעיל אזעקה. "לא קיבלתי תגובה רשמית ממיקרוסופט, אך יחד עם זאת, לא דיווחתי רשמית על הנושא למיקרוסופט, מכיוון שאני כבר לא עובד CERT", אומר דורמן. "הודעתי על כך בפומבי באמצעות טוויטר, בשל הפגיעות שבה משתמשים תוקפים בטבע."
