В разных версиях Windows существуют две отдельные уязвимости, которые позволяют злоумышленникам проникать в вредоносные вложения и файлы, минуя функцию безопасности Microsoft Mark of the Web (MOTW).
По словам Уилла Дорманна, бывшего аналитика по уязвимостям программного обеспечения из Координационного центра CERT (CERT/CC) в Университете Карнеги-Меллона, злоумышленники активно используют обе проблемы, обнаружив две ошибки. Но до сих пор Microsoft не выпустила никаких исправлений для них, и у организаций нет известных обходных путей, чтобы защитить себя, говорит исследователь, которому за свою карьеру приписывают обнаружение многочисленных уязвимостей нулевого дня.
Защита MotW для ненадежных файлов
MotW — это функция Windows, предназначенная для защиты пользователей от файлов из ненадежных источников. Сама отметка есть скрытый тег, который прикрепляет Windows к файлам, загруженным из Интернета. Файлы с тегом MotW ограничены в том, что они делают и как они функционируют. Например, начиная с MS Office 10, файлы с тегами MotW по умолчанию открываются в режиме защищенного просмотра, а исполняемые файлы сначала проверяются Защитником Windows на наличие проблем с безопасностью, прежде чем им будет разрешено запускаться.
«Многие функции безопасности Windows — [такие как] Microsoft Office Protected View, SmartScreen, Smart App Control [и] предупреждающие диалоги — зависят от наличия MotW для работы», — Дорманн, который в настоящее время является старшим аналитиком уязвимостей в Analygence, рассказывает Темное чтение.
Ошибка 1: обход MotW .ZIP с неофициальным патчем
7 июля Дорманн сообщил Microsoft о первой из двух проблем с обходом MotW. По его словам, Windows не может применить MotW к файлам, извлеченным из специально созданных файлов .ZIP.
«Любой файл, содержащийся в ZIP-файле, можно настроить таким образом, чтобы при извлечении он не содержал маркировки MOTW, — говорит Дорман. «Это позволяет злоумышленнику иметь файл, который будет работать таким образом, что создается впечатление, что он не был получен из Интернета». По словам Дорманна, им легче обманным путем заставить пользователей запускать произвольный код в своих системах.
Дорманн говорит, что не может делиться подробностями ошибки, потому что это выдаст, как злоумышленники могут использовать уязвимость. Но он говорит, что это влияет на все версии Windows, начиная с XP. Он говорит, что одной из причин, по которой он не получил известий от Microsoft, вероятно, является то, что об уязвимости им сообщили через CERT's Vulnerability Information and Coordinate Environment (VINCE), платформу, которую, по его словам, Microsoft отказалась использовать.
«Я не работал в CERT с конца июля, поэтому я не могу сказать, пыталась ли Microsoft каким-либо образом связаться с CERT с июля», — предостерегает он.
Дорманн говорит, что другие исследователи безопасности сообщают о том, что злоумышленники активно используют эту уязвимость. Один из них — исследователь безопасности Кевин Бомонт, бывший аналитик угроз в Microsoft. В твиттере ранее в этом месяце Бомонт сообщил, что уязвимость используется в реальных условиях.
«Это, без сомнения, самый тупой нулевой день над которым я работал— сказал Бомонт.
Днем позже в отдельном твите Бомонт сказал, что хочет опубликовать руководство по обнаружению проблемы, но обеспокоен потенциальными последствиями.
«Если Emotet/Qakbot/и т. д. найдут его, они на 100% будут использовать его в масштабе», — предупредил он.
Microsoft не ответила на два запроса Dark Reading с просьбой прокомментировать обнаруженные Dormann уязвимости или планы по их устранению, но словенская охранная фирма Acros Security на прошлой неделе выпустил неофициальный патч для этой первой уязвимости через свою платформу исправления 0patch.
В комментариях к Dark Reading Митя Колсек, генеральный директор и соучредитель 0patch и Acros Security, говорит, что смог подтвердить уязвимость, о которой Дорманн сообщил Microsoft в июле.
«Да, это до смешного очевидно, как только вы это знаете. Поэтому мы не хотели раскрывать никаких подробностей», — говорит он. Он говорит, что код, выполняющий распаковку .ZIP-файлов, имеет недостатки, и только патч кода может это исправить. «Обходных путей нет, — говорит Колсек.
Колсек говорит, что эту проблему несложно использовать, но он добавляет, что одной уязвимости недостаточно для успешной атаки. Для успешного использования злоумышленнику по-прежнему необходимо убедить пользователя открыть файл в созданном со злым умыслом ZIP-архиве, отправленном в виде вложения через фишинговое электронное письмо или скопированного со съемного диска, например, с USB-накопителя.
«Обычно все файлы, извлеченные из ZIP-архива, помеченного MotW, также получают эту метку и, следовательно, вызывают предупреждение системы безопасности при открытии или запуске», — говорит он, но уязвимость определенно позволяет злоумышленникам обойти защиту. «Никаких смягчающих обстоятельств нам не известно», — добавил он.
Ошибка 2: прокрасться мимо MotW с поврежденными подписями Authenticode
Вторая уязвимость связана с обработкой файлов с тегами MotW, которые имеют поврежденные цифровые подписи Authenticode. Authenticode — это технология подписи кода Microsoft. который удостоверяет личность издателя конкретной части программного обеспечения и определяет, было ли это программное обеспечение изменено после его публикации.
Дорманн говорит, что обнаружил, что если файл имеет искаженную подпись Authenticode, Windows будет рассматривать его так, как если бы у него не было MotW; из-за уязвимости Windows пропускает SmartScreen и другие предупреждающие диалоговые окна перед выполнением файла JavaScript.
«Похоже, что Windows «не открывается», когда обнаруживает ошибку [при] обработке данных Authenticode», — говорит Дорманн, и «она больше не будет применять защиту MotW к файлам, подписанным Authenticode, несмотря на то, что они все еще сохраняют MotW».
Дорманн описывает проблему как затрагивающую все версии Windows, начиная с версии 10, включая серверный вариант Windows Server 2016. Уязвимость дает злоумышленникам способ подписать любой файл, который может быть подписан Authenticode, поврежденным способом, например файлы .exe. и файлы JavaScript — и прокрасться через защиту MOTW.
Дорманн говорит, что узнал об этой проблеме после прочтения блога HP Threat Research, опубликованного ранее в этом месяце. Кампания программы-вымогателя Magniber с использованием уязвимости.
Неясно, предпринимает ли Microsoft действия, но пока исследователи продолжают бить тревогу. «Я не получил официального ответа от Microsoft, но в то же время я официально не сообщал о проблеме в Microsoft, так как больше не являюсь сотрудником CERT», — говорит Дорманн. «Я публично объявил об этом через Twitter из-за уязвимости, используемой злоумышленниками в дикой природе».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
