Er zijn twee afzonderlijke kwetsbaarheden in verschillende versies van Windows waarmee aanvallers kwaadaardige bijlagen en bestanden voorbij de Microsoft Mark of the Web (MOTW)-beveiligingsfunctie kunnen sluipen.
Aanvallers maken actief misbruik van beide problemen, aldus Will Dormann, een voormalig analist van softwarekwetsbaarheid bij CERT Coordination Center (CERT/CC) aan de Carnegie Mellon University, die de twee bugs ontdekte. Maar tot nu toe heeft Microsoft geen fixes voor hen uitgebracht, en er zijn geen oplossingen bekend voor organisaties om zichzelf te beschermen, zegt de onderzoeker, die in zijn carriรจre talloze zero-day-kwetsbaarheden heeft ontdekt.
MotW-beveiligingen voor niet-vertrouwde bestanden
MotW is een Windows-functie die is ontworpen om gebruikers te beschermen tegen bestanden van niet-vertrouwde bronnen. Het merk zelf is een verborgen tag die Windows bijvoegt naar bestanden die van internet zijn gedownload. Bestanden die de MotW-tag dragen, zijn beperkt in wat ze doen en hoe ze werken. Bijvoorbeeld, te beginnen met MS Office 10, MotW-gelabelde bestanden worden standaard geopend in Protected View, en uitvoerbare bestanden worden eerst door Windows Defender gecontroleerd op beveiligingsproblemen voordat ze mogen worden uitgevoerd.
"Veel Windows-beveiligingsfuncties - [zoals] Microsoft Office Protected-weergave, SmartScreen, Smart App Control, [en] waarschuwingsdialoogvensters - zijn afhankelijk van de aanwezigheid van MotW om te functioneren", zegt Dormann, momenteel senior kwetsbaarheidsanalist bij Analygence, vertelt Donkere Lezing.
Bug 1: MotW .ZIP Bypass, met onofficiรซle patch
Dormann meldde de eerste van de twee MotW-bypass-problemen aan Microsoft op 7 juli. Volgens hem past Windows de MotW niet toe op bestanden die zijn geรซxtraheerd uit speciaal vervaardigde .ZIP-bestanden.
"Elk bestand in een .ZIP kan zo worden geconfigureerd dat het bij het uitpakken geen MOTW-markeringen bevat", zegt Dorman. "Hierdoor kan een aanvaller een bestand hebben dat zo werkt dat het lijkt alsof het niet van internet komt." Dit maakt het voor hen gemakkelijker om gebruikers te misleiden om willekeurige code op hun systemen te gebruiken, merkt Dormann op.
Dormann zegt dat hij geen details van de bug kan delen, omdat dat zou verraden hoe aanvallers de fout zouden kunnen gebruiken. Maar hij zegt dat het van invloed is op alle versies van Windows vanaf XP. Hij zegt dat een van de redenen dat hij waarschijnlijk niets van Microsoft heeft gehoord, is dat de kwetsbaarheid aan hen is gemeld via CERT's Vulnerability Information and Coordination Environment (VINCE), een platform waarvan hij zegt dat Microsoft heeft geweigerd het te gebruiken.
"Ik werk sinds eind juli niet meer bij CERT, dus ik kan niet zeggen of Microsoft vanaf juli heeft geprobeerd contact op te nemen met CERT", waarschuwt hij.
Dormann zegt dat andere beveiligingsonderzoekers hebben gemeld dat aanvallers de fout actief misbruiken. Een van hen is beveiligingsonderzoeker Kevin Beaumont, een voormalig analist van bedreigingsinformatie bij Microsoft. In een tweet-thread eerder deze maand meldde Beaumont dat de fout in het wild werd uitgebuit.
โDit is zonder twijfel de domste zero-day waar ik aan heb gewerkt', aldus Beaumont.
In een aparte tweet een dag later zei Beaumont dat hij detectierichtlijnen voor het probleem wilde vrijgeven, maar bezorgd was over de mogelijke gevolgen.
"Als Emotet/Qakbot/etc het vinden, zullen ze het 100% op grote schaal gebruiken", waarschuwde hij.
Microsoft reageerde niet op twee Dark Reading-verzoeken om commentaar te leveren op de door Dormann gemelde kwetsbaarheden of dat het plannen had om deze aan te pakken, maar het in Sloveniรซ gevestigde beveiligingsbedrijf Acros Security vorige week heeft een onofficiรซle patch uitgebracht voor deze eerste kwetsbaarheid via het 0patch-patchplatform.
In opmerkingen aan Dark Reading zegt Mitja Kolsek, CEO en mede-oprichter van 0patch en Acros Security, dat hij de kwetsbaarheid kon bevestigen die Dormann in juli aan Microsoft meldde.
โJa, het is belachelijk duidelijk als je het eenmaal weet. Daarom wilden we geen details prijsgeven', zegt hij. Hij zegt dat de code die het uitpakken van .ZIP-bestanden uitvoert, gebrekkig is en dat alleen een codepatch dat kan oplossen. "Er zijn geen oplossingen", zegt Kolsek.
Kolsek zegt dat het probleem niet moeilijk te exploiteren is, maar hij voegt eraan toe dat de kwetsbaarheid alleen niet genoeg is voor een succesvolle aanval. Om succesvol te misbruiken, zou een aanvaller een gebruiker nog steeds moeten overtuigen om een โโbestand te openen in een kwaadwillig vervaardigd .ZIP-archief - verzonden als bijlage via een phishing-e-mail of gekopieerd van een verwisselbare schijf zoals een USB-stick bijvoorbeeld.
"Normaal gesproken zouden alle bestanden die worden geรซxtraheerd uit een .ZIP-archief dat is gemarkeerd met MotW, ook dit teken krijgen en daarom een โโbeveiligingswaarschuwing activeren wanneer ze worden geopend of gestart", zegt hij, maar de kwetsbaarheid biedt aanvallers zeker een manier om de bescherming te omzeilen. "We zijn niet op de hoogte van verzachtende omstandigheden", voegt hij eraan toe.
Bug 2: voorbij MotW sluipen met corrupte Authenticode-handtekeningen
De tweede kwetsbaarheid betreft de verwerking van MotW-tagged bestanden die corrupte Authenticode digitale handtekeningen hebben. Authenticode is een code-ondertekeningstechnologie van Microsoft die de identiteit van de uitgever van een bepaald stuk software verifieert en bepaalt of er met de software is geknoeid nadat deze is gepubliceerd.
Dormann zegt dat hij ontdekte dat als een bestand een misvormde Authenticode-handtekening heeft, het door Windows zal worden behandeld alsof het geen MotW heeft; het beveiligingslek zorgt ervoor dat Windows SmartScreen en andere waarschuwingsvensters overslaat voordat een JavaScript-bestand wordt uitgevoerd.
"Windows lijkt 'fail open' wanneer het een fout tegenkomt [wanneer] het verwerken van Authenticode-gegevens", zegt Dormann, en "het zal geen MotW-beveiligingen meer toepassen op Authenticode-ondertekende bestanden, ondanks dat ze nog steeds de MotW behouden."
Dormann beschrijft het probleem als van invloed op elke versie van Windows vanaf versie 10, inclusief de servervariant van Windows Server 2016. Het beveiligingslek geeft aanvallers een manier om elk bestand te ondertekenen dat door Authenticode op een corrupte manier kan worden ondertekend, zoals .exe-bestanden en JavaScript-bestanden - en sluip het voorbij MOTW-beveiligingen.
Dormann zegt dat hij van het probleem vernam na het lezen van een HP Threat Research-blog van eerder deze maand over een Magniber ransomware-campagne waarbij sprake is van een exploit voor de fout.
Het is onduidelijk of Microsoft actie onderneemt, maar voorlopig blijven onderzoekers alarm slaan. "Ik heb geen officieel antwoord van Microsoft ontvangen, maar tegelijkertijd heb ik het probleem niet officieel bij Microsoft gemeld, aangezien ik geen CERT-medewerker meer ben", zegt Dormann. "Ik heb het publiekelijk aangekondigd via Twitter, vanwege de kwetsbaarheid die door aanvallers in het wild wordt gebruikt."
