Marcajul Windows al Web-ului Zero Days rămâne fără patch-uri, sub exploatare

Există două vulnerabilități separate în diferite versiuni de Windows, care permit atacatorilor să strecoare atașamente și fișiere rău intenționate dincolo de caracteristica de securitate Microsoft Mark of the Web (MOTW).

Atacatorii exploatează în mod activ ambele probleme, potrivit lui Will Dormann, fost analist al vulnerabilităților software la Centrul de coordonare CERT (CERT/CC) de la Universitatea Carnegie Mellon, care a descoperit cele două erori. Dar până acum, Microsoft nu a emis nicio remediere pentru acestea și nu sunt disponibile soluții de soluționare cunoscute pentru ca organizațiile să se protejeze, spune cercetătorul, căruia i s-a atribuit faptul că a descoperit numeroase vulnerabilități zero-day de-a lungul carierei sale.

Protecție MotW pentru fișiere neîncrezătoare

MotW este o caracteristică Windows concepută pentru a proteja utilizatorii împotriva fișierelor din surse nesigure. Marca în sine este o etichetă ascunsă pe care o atașează Windows la fișierele descărcate de pe Internet. Fișierele care poartă eticheta MotW sunt restricționate în ceea ce fac și cum funcționează. De exemplu, începând cu MS Office 10, fișierele etichetate MotW se deschid în mod implicit în Vizualizare protejată, iar executabilele sunt verificate mai întâi pentru probleme de securitate de către Windows Defender înainte de a li se permite să ruleze.

„Multe caracteristici de securitate Windows — [cum ar fi] vizualizarea Microsoft Office Protected, SmartScreen, Smart App Control [și] dialoguri de avertizare — se bazează pe prezența MotW pentru a funcționa”, Dormann, care este în prezent analist senior de vulnerabilități la Analygence, spune Dark Reading.

Eroare 1: MotW .ZIP Bypass, cu Patch neoficial

Dormann a raportat la Microsoft prima dintre cele două probleme de ocolire a MotW pe 7 iulie. Potrivit acestuia, Windows nu reușește să aplice MotW fișierelor extrase din fișierele .ZIP create special.

„Orice fișier conținut într-un .ZIP poate fi configurat astfel încât, atunci când este extras, să nu conțină marcaje MOTW”, spune Dorman. „Acest lucru îi permite unui atacator să aibă un fișier care va funcționa într-un mod care face să pară că nu a venit de pe Internet.” Acest lucru le face mai ușor să păcălească utilizatorii să execute cod arbitrar pe sistemele lor, notează Dormann.

Dormann spune că nu poate împărtăși detaliile despre eroare, deoarece asta ar dezvălui modul în care atacatorii ar putea valorifica defectul. Dar el spune că afectează toate versiunile de Windows începând cu XP. El spune că unul dintre motivele pentru care nu a auzit de la Microsoft este că vulnerabilitatea le-a fost raportată prin intermediul Vulnerability Information and Coordination Environment (VINCE) al CERT, o platformă pe care spune că Microsoft a refuzat să o folosească.

„Nu am mai lucrat la CERT de la sfârșitul lunii iulie, așa că nu pot spune dacă Microsoft a încercat să contacteze CERT în vreun fel începând cu luna iulie”, avertizează el.

Dormann spune că alți cercetători de securitate au raportat că au văzut atacatori exploatând în mod activ defectul. Unul dintre ei este cercetătorul de securitate Kevin Beaumont, un fost analist de informații despre amenințări la Microsoft. Într-un thread de tweet de la începutul acestei luni, Beaumont a raportat defectul ca fiind exploatat în sălbăticie.

„Acesta este fără îndoială cea mai proastă zi zero la care am lucrat”, a spus Beaumont.

Într-un tweet separat, o zi mai târziu, Beaumont a spus că dorește să elibereze ghiduri de detectare pentru această problemă, dar este îngrijorat de potențialele consecințe.

„Dacă Emotet/Qakbot/etc îl găsesc, îl vor folosi 100% la scară”, a avertizat el.

Microsoft nu a răspuns la două solicitări Dark Reading pentru a solicita comentarii cu privire la vulnerabilitățile raportate de Dormann sau dacă avea vreun plan să le rezolve, dar firma de securitate cu sediul în Slovenia Acros Security săptămâna trecută a lansat un patch neoficial pentru această primă vulnerabilitate prin intermediul platformei sale de corecție 0patch.

În comentarii pentru Dark Reading, Mitja Kolsek, CEO și co-fondator al 0patch și Acros Security, spune că a putut confirma vulnerabilitatea pe care Dormann a raportat-o ​​Microsoft în iulie.

„Da, este ridicol de evident odată ce știi asta. De aceea nu am vrut să dezvăluim niciun detaliu”, spune el. El spune că codul care efectuează dezarhivarea fișierelor .ZIP este greșit și doar un patch de cod poate rezolva asta. „Nu există soluții”, spune Kolsek.

Kolsek spune că problema nu este greu de exploatat, dar adaugă că doar vulnerabilitatea nu este suficientă pentru un atac de succes. Pentru a exploata cu succes, un atacator ar trebui să convingă un utilizator să deschidă un fișier într-o arhivă .ZIP creată în mod rău intenționat - trimis ca atașament printr-un e-mail de phishing sau copiat de pe o unitate amovibilă, cum ar fi un stick USB, de exemplu.

„În mod normal, toate fișierele extrase dintr-o arhivă .ZIP care este marcată cu MotW vor primi și acest marcaj și, prin urmare, ar declanșa un avertisment de securitate atunci când sunt deschise sau lansate”, spune el, dar vulnerabilitatea permite cu siguranță atacatorilor o modalitate de a ocoli protecția. „Nu suntem conștienți de circumstanțe atenuante”, adaugă el.

Eroare 2: Treci pe furiș pe lângă MotW cu semnături de cod de autentificare corupte

A doua vulnerabilitate implică gestionarea fișierelor etichetate MotW care au semnături digitale Authenticode corupte. Authenticode este o tehnologie Microsoft de semnare a codurilor care autentifică identitatea editorului unei anumite piese de software și determină dacă software-ul a fost modificat după ce a fost publicat.

Dormann spune că a descoperit că, dacă un fișier are o semnătură Authenticode incorect, acesta va fi tratat de Windows ca și cum nu ar avea MotW; vulnerabilitatea face ca Windows să ignore SmartScreen și alte dialoguri de avertizare înainte de a executa un fișier JavaScript.

„Windows pare să „se deschidă” atunci când întâlnește o eroare [când] procesează datele Authenticode”, spune Dormann, și „nu va mai aplica protecții MotW fișierelor semnate cu Authenticode, în ciuda faptului că acestea încă păstrează MotW.”

Dormann descrie problema ca afectând fiecare versiune de Windows începând cu versiunea 10, inclusiv varianta de server a Windows Server 2016. Vulnerabilitatea oferă atacatorilor o modalitate de a semna orice fișier care poate fi semnat de Authenticode într-o manieră coruptă - cum ar fi fișierele .exe și fișiere JavaScript - și strecurați-l pe lângă protecțiile MOTW.

Dormann spune că a aflat de problemă după ce a citit un blog HP Threat Research de la începutul acestei luni despre a Campanie de ransomware Magniber implicând o exploatare pentru defect.

Nu este clar dacă Microsoft ia măsuri, dar deocamdată cercetătorii continuă să tragă alarma. „Nu am primit un răspuns oficial de la Microsoft, dar, în același timp, nu am raportat oficial problema către Microsoft, deoarece nu mai sunt angajat CERT”, spune Dormann. „L-am anunțat public prin Twitter, din cauza vulnerabilității folosite de atacatori în sălbăticie.”