Existem duas vulnerabilidades separadas em diferentes versões do Windows que permitem que invasores invadam anexos e arquivos maliciosos através do recurso de segurança Mark of the Web (MOTW) da Microsoft.
Os invasores estão explorando ativamente ambos os problemas, de acordo com Will Dormann, ex-analista de vulnerabilidades de software do Centro de Coordenação CERT (CERT/CC) da Universidade Carnegie Mellon, que descobriu os dois bugs. Mas até agora, a Microsoft não emitiu nenhuma correção para eles, e nenhuma solução alternativa conhecida está disponível para as organizações se protegerem, diz o pesquisador, que foi creditado pela descoberta de inúmeras vulnerabilidades de dia zero ao longo de sua carreira.
Proteções MotW para arquivos não confiáveis
MotW é um recurso do Windows projetado para proteger os usuários contra arquivos de fontes não confiáveis. A marca em si é uma tag oculta que o Windows anexa para arquivos baixados da Internet. Os arquivos que carregam a tag MotW são restritos quanto ao que fazem e como funcionam. Por exemplo, a partir do MS Office 10, os arquivos marcados com MotW são abertos por padrão no Modo de Exibição Protegido e os executáveis são primeiro verificados quanto a problemas de segurança pelo Windows Defender antes de serem autorizados a serem executados.
“Muitos recursos de segurança do Windows – [como] Microsoft Office Protected view, SmartScreen, Smart App Control, [e] caixas de diálogo de aviso – dependem da presença do MotW para funcionar”, Dormann, que atualmente é analista sênior de vulnerabilidades na Analygence, diz Dark Reading.
Bug 1: MotW .ZIP Bypass, com patch não oficial
Dormann relatou o primeiro dos dois problemas de desvio do MotW à Microsoft em 7 de julho. Segundo ele, o Windows não aplica o MotW a arquivos extraídos de arquivos .ZIP especificamente criados.
“Qualquer arquivo contido em um .ZIP pode ser configurado de forma que, quando extraído, não contenha marcações MOTW”, diz Dorman. “Isso permite que um invasor tenha um arquivo que funcionará de uma forma que fará parecer que não veio da Internet.” Isso torna mais fácil para eles enganar os usuários para que executem códigos arbitrários em seus sistemas, observa Dormann.
Dormann diz que não pode compartilhar detalhes do bug, porque isso revelaria como os invasores poderiam aproveitar a falha. Mas ele diz que isso afeta todas as versões do Windows a partir do XP. Ele diz que um dos motivos pelos quais provavelmente não ouviu falar da Microsoft é porque a vulnerabilidade foi relatada a eles por meio do Ambiente de Coordenação e Informações de Vulnerabilidade (VINCE) do CERT, uma plataforma que ele diz que a Microsoft se recusou a usar.
“Não trabalho no CERT desde o final de julho, por isso não posso dizer se a Microsoft tentou entrar em contato com o CERT de alguma forma a partir de julho”, adverte.
Dormann diz que outros pesquisadores de segurança relataram ter visto invasores explorando ativamente a falha. Um deles é o pesquisador de segurança Kevin Beaumont, ex-analista de inteligência de ameaças da Microsoft. Em um tópico de tweet no início deste mês, Beaumont relatou que a falha estava sendo explorada em estado selvagem.
“Este é sem dúvida o o dia zero mais idiota em que trabalhei”, disse Beaumont.
Em um tweet separado um dia depois, Beaumont disse que queria divulgar orientações de detecção para o problema, mas estava preocupado com as possíveis consequências.
“Se o Emotet/Qakbot/etc o encontrar, eles o usarão 100% em grande escala”, alertou.
A Microsoft não respondeu a dois pedidos de Dark Reading solicitando comentários sobre as vulnerabilidades relatadas por Dormann ou se tinha planos para resolvê-las, mas a empresa de segurança com sede na Eslovênia Acros Security na semana passada lançou um patch não oficial para esta primeira vulnerabilidade por meio de sua plataforma de patch 0patch.
Em comentários ao Dark Reading, Mitja Kolsek, CEO e cofundador da 0patch e Acros Security, diz que conseguiu confirmar a vulnerabilidade que Dormann relatou à Microsoft em julho.
“Sim, é ridiculamente óbvio quando você sabe disso. Por isso não queríamos revelar nenhum detalhe”, afirma. Ele diz que o código que executa a descompactação de arquivos .ZIP é falho e apenas um patch de código pode consertar isso. “Não há soluções alternativas”, diz Kolsek.
Kolsek diz que o problema não é difícil de explorar, mas acrescenta que a vulnerabilidade por si só não é suficiente para um ataque bem-sucedido. Para explorar com sucesso, um invasor ainda precisaria convencer um usuário a abrir um arquivo em um arquivo .ZIP criado com códigos maliciosos – enviado como anexo por meio de um e-mail de phishing ou copiado de uma unidade removível, como um pendrive, por exemplo.
“Normalmente, todos os arquivos extraídos de um arquivo .ZIP marcado com MotW também receberiam essa marca e, portanto, acionariam um aviso de segurança quando abertos ou iniciados”, diz ele, mas a vulnerabilidade definitivamente permite que os invasores contornem a proteção. “Não temos conhecimento de quaisquer circunstâncias atenuantes”, acrescenta.
Bug 2: Esgueirando-se pelo MotW com assinaturas Authenticode corrompidas
A segunda vulnerabilidade envolve o manuseio de arquivos marcados com MotW que possuem assinaturas digitais Authenticode corrompidas. Authenticode é uma tecnologia de assinatura de código da Microsoft que autentica a identidade do editor de um determinado software e determina se o software foi adulterado após ser publicado.
Dormann diz que descobriu que se um arquivo tiver uma assinatura Authenticode malformada, ele será tratado pelo Windows como se não tivesse MotW; a vulnerabilidade faz com que o Windows ignore o SmartScreen e outras caixas de diálogo de aviso antes de executar um arquivo JavaScript.
“O Windows parece 'falha ao abrir' quando encontra um erro [ao] processar dados Authenticode”, diz Dormann, e “ele não aplicará mais proteções MotW a arquivos assinados por Authenticode, apesar de eles ainda reterem o MotW”.
Dormann descreve o problema como afetando todas as versões do Windows a partir da versão 10, incluindo a variante de servidor do Windows Server 2016. A vulnerabilidade oferece aos invasores uma maneira de assinar qualquer arquivo que possa ser assinado pelo Authenticode de maneira corrompida – como arquivos .exe e arquivos JavaScript - e passar pelas proteções MOTW.
Dormann diz que soube do problema depois de ler um blog da HP Threat Research no início deste mês sobre um Campanha de ransomware Magniber envolvendo uma exploração da falha.
Não está claro se a Microsoft está agindo, mas por enquanto, os pesquisadores continuam a soar o alarme. “Não recebi uma resposta oficial da Microsoft, mas, ao mesmo tempo, não relatei oficialmente o problema à Microsoft, pois não sou mais funcionário do CERT”, diz Dormann. “Anunciei isso publicamente via Twitter, devido à vulnerabilidade usada por invasores em liberdade.”
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
