Det finnes to separate sårbarheter i forskjellige versjoner av Windows som lar angripere snike ondsinnede vedlegg og filer forbi Microsofts Mark of the Web (MOTW) sikkerhetsfunksjon.
Angripere utnytter begge problemene aktivt, ifølge Will Dormann, en tidligere programvaresårbarhetsanalytiker med CERT Coordination Center (CERT/CC) ved Carnegie Mellon University, som oppdaget de to feilene. Men så langt har ikke Microsoft utstedt noen rettelser for dem, og ingen kjente løsninger er tilgjengelige for organisasjoner for å beskytte seg selv, sier forskeren, som har blitt kreditert for å ha oppdaget en rekke nulldagssårbarheter i løpet av karrieren.
MotW-beskyttelse for uklarerte filer
MotW er en Windows-funksjon designet for å beskytte brukere mot filer fra upålitelige kilder. Selve merket er en skjult kode som Windows legger ved til filer lastet ned fra Internett. Filer som bærer MotW-koden er begrenset i hva de gjør og hvordan de fungerer. For eksempel, fra og med MS Office 10, åpnes MotW-merkede filer som standard i Protected View, og kjørbare filer blir først kontrollert for sikkerhetsproblemer av Windows Defender før de får lov til å kjøre.
"Mange Windows-sikkerhetsfunksjoner - [som] Microsoft Office Protected View, SmartScreen, Smart App Control, [og] advarselsdialoger - er avhengige av nærværet av MotW for å fungere," Dormann, som for tiden er senior sårbarhetsanalytiker hos Analygence, forteller Dark Reading.
Feil 1: MotW .ZIP-bypass, med uoffisiell oppdatering
Dormann rapporterte det første av de to MotW-bypass-problemene til Microsoft 7. juli. Ifølge ham klarer ikke Windows å bruke MotW på filer som er hentet ut fra spesifikt lagde .ZIP-filer.
"Enhver fil som finnes i en .ZIP kan konfigureres på en måte slik at når den er pakket ut, vil den ikke inneholde MOTW-markeringer," sier Dorman. "Dette lar en angriper ha en fil som vil fungere på en måte som får det til å se ut som om den ikke kom fra Internett." Dette gjør det lettere for dem å lure brukere til å kjøre vilkårlig kode på systemene sine, bemerker Dormann.
Dormann sier at han ikke kan dele detaljer om feilen, fordi det ville gi bort hvordan angripere kunne utnytte feilen. Men han sier at det påvirker alle versjoner av Windows fra og med XP. Han sier at en grunn til at han ikke har hørt fra Microsoft sannsynligvis er fordi sårbarheten ble rapportert til dem via CERTs Vulnerability Information and Coordination Environment (VINCE), en plattform som han sier Microsoft har nektet å bruke.
"Jeg har ikke jobbet i CERT siden slutten av juli, så jeg kan ikke si om Microsoft har forsøkt å kontakte CERT på noen måte fra juli av," advarer han.
Dormann sier at andre sikkerhetsforskere har rapportert å ha sett angripere som aktivt utnytter feilen. En av dem er sikkerhetsforsker Kevin Beaumont, en tidligere trusseletterretningsanalytiker hos Microsoft. I en tweet-tråd tidligere denne måneden rapporterte Beaumont at feilen ble utnyttet i naturen.
"Dette er uten tvil dummeste nulldagen jeg har jobbet på", sa Beaumont.
I en separat tweet en dag senere sa Beaumont at han ønsket å gi ut veiledning for deteksjon for problemet, men var bekymret for det potensielle nedfallet.
"Hvis Emotet/Qakbot/etc finner det, vil de 100% bruke det i stor skala," advarte han.
Microsoft svarte ikke på to Dark Reading-forespørsler som ønsket å kommentere Dormanns rapporterte sårbarheter eller om de hadde noen planer om å løse dem, men det slovenia-baserte sikkerhetsfirmaet Acros Security forrige uke ga ut en uoffisiell oppdatering for denne første sårbarheten via sin 0patch-patch-plattform.
I kommentarer til Dark Reading sier Mitja Kolsek, administrerende direktør og medgründer av 0patch og Acros Security, at han var i stand til å bekrefte sårbarheten som Dormann rapporterte til Microsoft i juli.
"Ja, det er latterlig åpenbart når du først vet det. Derfor ønsket vi ikke å avsløre noen detaljer, sier han. Han sier at koden som utfører utpakningen av .ZIP-filer er feil, og at bare en kodelapp kan fikse det. "Det er ingen løsninger," sier Kolsek.
Kolsek sier at problemet ikke er vanskelig å utnytte, men han legger til at sårbarheten alene ikke er nok for et vellykket angrep. For å kunne utnytte vellykket, må en angriper fortsatt overbevise en bruker om å åpne en fil i et ondsinnet .ZIP-arkiv – sendt som et vedlegg via en phishing-e-post eller kopiert fra en flyttbar stasjon, for eksempel en USB-pinne.
"Vanligvis vil alle filer hentet fra et .ZIP-arkiv som er merket med MotW også få dette merket og vil derfor utløse en sikkerhetsadvarsel når de åpnes eller lanseres," sier han, men sårbarheten tillater definitivt angripere å omgå beskyttelsen. "Vi kjenner ikke til noen formildende omstendigheter," legger han til.
Feil 2: Snik forbi MotW med korrupte autentikodesignaturer
Den andre sårbarheten involverer håndtering av MotW-merkede filer som har korrupte Authenticode digitale signaturer. Authenticode er en Microsoft-kodesigneringsteknologi som autentiserer identiteten til utgiveren av et bestemt stykke programvare og avgjør om programvaren ble tuklet med etter at den ble publisert.
Dormann sier at han oppdaget at hvis en fil har en misformet Authenticode-signatur, vil den bli behandlet av Windows som om den ikke hadde MotW; sårbarheten får Windows til å hoppe over SmartScreen og andre advarselsdialoger før en JavaScript-fil kjøres.
"Windows ser ut til å "feile åpen" når den støter på en feil [når] behandler Authenticode-data," sier Dormann, og "det vil ikke lenger bruke MotW-beskyttelse på Authenticode-signerte filer, til tross for at de faktisk fortsatt beholder MotW."
Dormann beskriver problemet som påvirker alle versjoner av Windows fra og med versjon 10, inkludert servervarianten av Windows Server 2016. Sårbarheten gir angripere en måte å signere alle filer som kan signeres av Authenticode på en korrupt måte – for eksempel .exe-filer og JavaScript-filer - og snike det forbi MOTW-beskyttelse.
Dormann sier at han fikk vite om problemet etter å ha lest en HP Threat Research-blogg fra tidligere denne måneden om en Magniber ransomware-kampanje involverer en utnyttelse for feilen.
Det er uklart om Microsoft tar grep, men foreløpig fortsetter forskere å slå alarm. "Jeg har ikke mottatt et offisielt svar fra Microsoft, men samtidig har jeg ikke offisielt rapportert problemet til Microsoft, siden jeg ikke lenger er en CERT-ansatt," sier Dormann. "Jeg kunngjorde det offentlig via Twitter, på grunn av sårbarheten som brukes av angripere i naturen."
