異なるバージョンの Windows に XNUMX つの個別の脆弱性が存在し、攻撃者が悪意のある添付ファイルやファイルを Microsoft の Mark of the Web (MOTW) セキュリティ機能をすり抜けることができるようになります。
カーネギー メロン大学の CERT Coordination Center (CERT/CC) の元ソフトウェア脆弱性アナリストで、XNUMX つのバグを発見した Will Dormann 氏によると、攻撃者は両方の問題を積極的に悪用しています。 しかし、これまでのところ、Microsoft はそれらに対する修正プログラムを発行しておらず、組織が自らを保護するための既知の回避策はないと述べています。
信頼できないファイルに対する MotW 保護
MotW は、信頼できないソースからのファイルからユーザーを保護するために設計された Windows の機能です。 マーク自体は Windows が添付する隠しタグ インターネットからダウンロードしたファイルに。 MotW タグを持つファイルは、その動作と機能が制限されています。 たとえば、MS Office 10 以降では、MotW タグ付きファイルは既定で保護されたビューで開かれ、実行可能ファイルは、実行が許可される前に Windows Defender によって最初にセキュリティの問題について精査されます。
「Microsoft Office Protected view、SmartScreen、Smart App Control、[および] 警告ダイアログなど、多くの Windows セキュリティ機能は、機能するために MotW の存在に依存しています」と、現在 Analygence の上級脆弱性アナリストである Dormann 氏は、とダーク・リーディングは語る。
バグ 1: 非公式パッチによる MotW .ZIP バイパス
Dormann は、7 つの MotW バイパスの問題のうち最初のものを XNUMX 月 XNUMX 日に Microsoft に報告しました。彼によると、Windows は特別に細工された .ZIP ファイルから抽出されたファイルに MotW を適用できません。
「.ZIP に含まれるすべてのファイルは、解凍時に MOTW マーキングが含まれないように構成できます」と Dorman 氏は言います。 「これにより、攻撃者は、インターネットから来たものではないように見せる方法で動作するファイルを持つことができます。」 これにより、ユーザーをだましてシステム上で任意のコードを実行させることが容易になる、と Dormann 氏は述べています。
Dormann 氏は、バグの詳細を共有することはできないと述べています。 しかし彼は、XP 以降のすべてのバージョンの Windows に影響を与えると述べています。 Microsoft から連絡がない理由の XNUMX つは、CERT の Vulnerability Information and Coordination Environment (VINCE) 経由で脆弱性が報告されたためである可能性が高いと彼は言います。これは Microsoft が使用を拒否したプラットフォームです。
「私は XNUMX 月下旬から CERT で働いていません。したがって、Microsoft が XNUMX 月以降、何らかの方法で CERT に連絡を取ろうとしたかどうかはわかりません」と彼は警告します。
ドーマン氏によると、他のセキュリティ研究者は、攻撃者がこの欠陥を積極的に悪用しているのを見たと報告しています。 そのうちの XNUMX 人は、Microsoft の元脅威インテリジェンス アナリストであるセキュリティ研究者の Kevin Beaumont です。 今月初めのツイート スレッドで、Beaumont 氏はこの脆弱性が実際に悪用されていると報告しました。
「これは間違いなく 私が取り組んだ中で最もばかげたゼロデイ」とボーモントは言いました。
XNUMX 日後の別のツイートで、Beaumont 氏は、問題の検出ガイダンスを公開したいが、潜在的な影響について懸念していると述べました。
「Emotet/Qakbot/etc がそれを見つけたら、100% 大規模に使用するでしょう」と彼は警告しました。
Microsoft は、Dormann の報告された脆弱性に関するコメントや、それらに対処する計画があるかどうかを求める Dark Reading の XNUMX 件のリクエストに応答しませんでしたが、先週、スロベニアに本拠を置くセキュリティ会社 Acros Security は 非公式パッチをリリース この最初の脆弱性は、0patch パッチ プラットフォームを介して修正されました。
0patch と Acros Security の CEO 兼共同設立者である Mitja Kolsek は、Dark Reading へのコメントで、Dormann が XNUMX 月に Microsoft に報告した脆弱性を確認できたと述べています。
「はい、一度知ってしまえばばかばかしいほど明白です。 そのため、詳細を明らかにしたくありませんでした」と彼は言います。 彼は、.ZIP ファイルの解凍を実行するコードに欠陥があり、それを修正できるのはコード パッチだけだと言います。 「回避策はありません」と Kolsek 氏は言います。
Kolsek 氏は、この問題を悪用することは難しくないと述べていますが、脆弱性だけでは攻撃を成功させるには十分ではないと付け加えています。 エクスプロイトを成功させるには、攻撃者は依然として、悪意を持って作成された .ZIP アーカイブ内のファイルを開くようにユーザーを誘導する必要があります。ファイルは、フィッシング メールを介して添付ファイルとして送信されるか、USB スティックなどのリムーバブル ドライブからコピーされます。
「通常、MotW でマークされた .ZIP アーカイブから抽出されたすべてのファイルにもこのマークが付けられるため、開いたり起動したりするとセキュリティ警告がトリガーされます」と彼は言いますが、この脆弱性により、攻撃者は確実に保護を回避することができます. 「緩和する状況は認識していません」と彼は付け加えます。
バグ 2: 壊れた Authenticode 署名で MotW をこっそり通り過ぎる
XNUMX 番目の脆弱性は、Authenticode デジタル署名が破損している MotW タグ付きファイルの処理に関係しています。 Authenticode は、Microsoft のコード署名テクノロジです。 特定のソフトウェアの発行者の身元を認証し、ソフトウェアが発行後に改ざんされたかどうかを判断します。
Dormann 氏は、ファイルに不正な Authenticode 署名がある場合、Windows では MotW がないかのように扱われることを発見したと述べています。 この脆弱性により、Windows は JavaScript ファイルを実行する前に SmartScreen やその他の警告ダイアログをスキップします。
「Windows は、Authenticode データの処理中にエラーが発生すると、『フェイル オープン』しているように見えます」と Dormann 氏は言います。
Dormann 氏は、この問題が Windows Server 10 のサーバー バリアントを含む、バージョン 2016 以降の Windows のすべてのバージョンに影響を与えると説明しています。この脆弱性により、攻撃者は、Authenticode で署名できる任意のファイル (.exe ファイルなど) に破損した方法で署名することができます。および JavaScript ファイル — そして MOTW 保護をこっそり通り抜けます。
Dormann 氏は、今月初めに HP の脅威研究に関するブログを読み、この問題を知ったと言います。 Magniber ランサムウェア キャンペーン 欠陥の悪用を含む。
マイクロソフトが対策を講じているかどうかは不明ですが、今のところ、研究者は引き続き警告を発しています。 「Microsoft から正式な回答は得ていませんが、同時に、私は CERT の従業員ではなくなったため、この問題を Microsoft に正式に報告していません」と Dormann 氏は言います。 「攻撃者が実際に脆弱性を利用しているため、Twitter で公開しました。」
