W różnych wersjach systemu Windows istnieją dwie oddzielne luki w zabezpieczeniach, które umożliwiają atakującym przemycenie złośliwych załączników i plików poza funkcję zabezpieczeń Mark of the Web (MOTW) firmy Microsoft.
Według Willa Dormanna, byłego analityka luk w zabezpieczeniach oprogramowania w Centrum Koordynacji CERT (CERT/CC) na Uniwersytecie Carnegie Mellon, hakerzy aktywnie wykorzystują oba problemy, który odkrył oba błędy. Ale jak dotąd Microsoft nie wydał dla nich żadnych poprawek i żadne znane obejścia nie są dostępne dla organizacji, aby się chronić, mówi badacz, któremu przypisuje się odkrycie licznych luk zero-day w swojej karierze.
Zabezpieczenia MotW dla niezaufanych plików
MotW to funkcja systemu Windows zaprojektowana w celu ochrony użytkowników przed plikami z niezaufanych źródeł. Sam znak jest ukryty tag, który dołącza system Windows do plików pobranych z Internetu. Pliki opatrzone znacznikiem MotW są ograniczone pod względem funkcji i sposobu działania. Na przykład, począwszy od pakietu MS Office 10, pliki oznaczone MotW otwierają się domyślnie w widoku chronionym, a pliki wykonywalne są najpierw sprawdzane pod kątem problemów z bezpieczeństwem przez program Windows Defender, zanim zostaną dopuszczone do uruchomienia.
„Wiele funkcji zabezpieczeń systemu Windows — [takich jak] widok Microsoft Office Protected, SmartScreen, Smart App Control [i] okna dialogowe z ostrzeżeniami — zależy od obecności MotW do działania”, Dormann, który jest obecnie starszym analitykiem podatności w Analygence, mówi Dark Reading.
Błąd 1: MotW .ZIP Bypass, z nieoficjalną łatką
Dormann zgłosił firmie Microsoft pierwszy z dwóch problemów z obejściem MotW 7 lipca. Według niego system Windows nie stosuje MotW do plików wyodrębnionych ze specjalnie spreparowanych plików .ZIP.
„Każdy plik zawarty w pliku .ZIP można skonfigurować w taki sposób, aby po wyodrębnieniu nie zawierał oznaczeń MOTW” — mówi Dorman. „Dzięki temu atakujący może mieć plik, który będzie działał w sposób, który sprawia wrażenie, że nie pochodzi z Internetu”. Ułatwia im to nakłonienie użytkowników do uruchomienia dowolnego kodu w ich systemach, zauważa Dormann.
Dormann mówi, że nie może ujawnić szczegółów błędu, ponieważ to zdradziłoby, w jaki sposób atakujący mogą wykorzystać tę wadę. Ale mówi, że dotyczy to wszystkich wersji systemu Windows od XP. Mówi, że jednym z powodów, dla których nie słyszał od Microsoftu, jest prawdopodobnie to, że luka została zgłoszona za pośrednictwem CERT's Vulnerability Information and Coordination Environment (VINCE), platformy, której, jak twierdzi, Microsoft odmówił użycia.
„Nie pracuję w CERT od końca lipca, więc nie mogę powiedzieć, czy Microsoft próbował skontaktować się z CERT w jakikolwiek sposób od lipca”, ostrzega.
Dormann mówi, że inni badacze bezpieczeństwa zgłosili, że widzieli osoby atakujące aktywnie wykorzystujące tę lukę. Jednym z nich jest badacz bezpieczeństwa Kevin Beaumont, były analityk ds. analizy zagrożeń w firmie Microsoft. W wątku na Twitterze na początku tego miesiąca Beaumont poinformował, że luka jest wykorzystywana w środowisku naturalnym.
„To jest bez wątpienia najgłupszy dzień zerowy, nad którym pracowałem– powiedział Beaumont.
W osobnym tweecie dzień później Beaumont powiedział, że chce opublikować wskazówki dotyczące wykrywania problemu, ale obawia się o potencjalne skutki uboczne.
„Jeśli Emotet/Qakbot/etc go znajdą, użyją go w 100% na dużą skalę” – ostrzegł.
Microsoft nie odpowiedział na dwa żądania Dark Reading o komentarz na temat zgłoszonych przez Dormanna luk w zabezpieczeniach ani tego, czy miał jakieś plany ich usunięcia, ale firma Acros Security z siedzibą w Słowenii w zeszłym tygodniu wydała nieoficjalną łatkę za tę pierwszą lukę za pośrednictwem platformy łatania 0patch.
W komentarzach dla Dark Reading Mitja Kolsek, dyrektor generalny i współzałożyciel 0patch i Acros Security, powiedział, że był w stanie potwierdzić lukę, którą Dormann zgłosił Microsoft w lipcu.
„Tak, to jest absurdalnie oczywiste, kiedy się o tym wie. Dlatego nie chcieliśmy zdradzać żadnych szczegółów – mówi. Mówi, że kod wykonujący rozpakowywanie plików .ZIP jest wadliwy i tylko łatka kodu może to naprawić. „Nie ma obejść” – mówi Kolsek.
Kolsek mówi, że problem nie jest trudny do wykorzystania, ale dodaje, że sama luka nie wystarczy do skutecznego ataku. Aby skutecznie wykorzystać, osoba atakująca nadal musiałaby przekonać użytkownika do otwarcia pliku ze złośliwie spreparowanego archiwum .ZIP — wysłanego jako załącznik w wiadomości phishingowej lub skopiowanej z dysku wymiennego, takiego jak na przykład pamięć USB.
„Zwykle wszystkie pliki wyodrębnione z archiwum .ZIP, które jest oznaczone MotW, również otrzymają ten znak, a zatem po otwarciu lub uruchomieniu wywołają ostrzeżenie o zabezpieczeniach”, mówi, ale luka zdecydowanie pozwala atakującym na ominięcie ochrony. „Nie znamy żadnych okoliczności łagodzących” – dodaje.
Błąd 2: Skradanie się do przeszłości z uszkodzonymi podpisami Authenticode
Druga luka dotyczy obsługi plików oznaczonych tagami MotW, które mają uszkodzone podpisy cyfrowe Authenticode. Authenticode to technologia podpisywania kodu firmy Microsoft który uwierzytelnia tożsamość wydawcy określonego oprogramowania i określa, czy oprogramowanie zostało naruszone po jego opublikowaniu.
Dormann mówi, że odkrył, że jeśli plik ma zniekształcony podpis Authenticode, będzie traktowany przez Windows tak, jakby nie miał MotW; luka powoduje, że system Windows pomija SmartScreen i inne okna dialogowe z ostrzeżeniami przed wykonaniem pliku JavaScript.
„Wydaje się, że system Windows„ się nie otwiera”, gdy napotka błąd [podczas] przetwarzania danych Authenticode”, mówi Dormann, i „nie będzie już stosować ochrony MotW do plików podpisanych przez Authenticode, mimo że nadal zachowują MotW”.
Dormann opisuje problem jako dotyczący każdej wersji systemu Windows od wersji 10, w tym serwerowej wersji systemu Windows Server 2016. Luka umożliwia atakującym podpisanie dowolnego pliku, który może zostać podpisany przez Authenticode w sposób uszkodzony — na przykład pliki .exe i pliki JavaScript — i przemyć je przez zabezpieczenia MOTW.
Dormann mówi, że dowiedział się o tym problemie po przeczytaniu bloga HP Threat Research z początku tego miesiąca o: Kampania ransomware Magniber wykorzystujący lukę.
Nie jest jasne, czy Microsoft podejmuje działania, ale na razie naukowcy nadal podnoszą alarm. „Nie otrzymałem oficjalnej odpowiedzi od firmy Microsoft, ale jednocześnie nie zgłosiłem oficjalnie problemu firmie Microsoft, ponieważ nie jestem już pracownikiem CERT” — mówi Dormann. „Ogłosiłem to publicznie za pośrednictwem Twittera, ponieważ luka jest wykorzystywana przez atakujących na wolności”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
