Two separate vulnerabilities exist in different versions of Windows that allow attackers to sneak malicious attachments and files past Microsoft’s Mark of the Web (MOTW) security feature.
Napadalci dejavno izkoriščajo obe težavi, pravi Will Dormann, nekdanji analitik ranljivosti programske opreme pri koordinacijskem centru CERT (CERT/CC) na Univerzi Carnegie Mellon, ki je odkril oba hrošča. Toda do zdaj Microsoft zanje ni izdal nobenih popravkov in organizacijam ni na voljo nobenih znanih rešitev, s katerimi bi se zaščitile, pravi raziskovalec, ki je bil zaslužen za odkrivanje številnih ranljivosti ničelnega dne v svoji karieri.
Zaščita MotW za nezaupljive datoteke
MotW je funkcija sistema Windows, namenjena zaščiti uporabnikov pred datotekami iz nezaupljivih virov. Znamka sama je skrito oznako, ki jo pripne Windows v datoteke, prenesene z interneta. Datoteke z oznako MotW so omejene glede tega, kaj počnejo in kako delujejo. Na primer, začenši z MS Office 10 se datoteke z oznako MotW privzeto odprejo v zaščitenem pogledu, Windows Defender pa izvedljive datoteke najprej preveri glede varnostnih težav, preden se jim dovoli zagon.
“Many Windows security features — [such as] Microsoft Office Protected view, SmartScreen, Smart App Control, [and] warning dialogs — rely on the presence of the MotW to function,” Dormann, who is presently a senior vulnerability analyst at Analygence, tells Dark Reading.
Napaka 1: MotW .ZIP Bypass z neuradnim popravkom
Dormann je Microsoftu 7. julija poročal o prvi od dveh težav z obvodom MotW. Po njegovem mnenju Windows ne uporabi MotW za datoteke, ekstrahirane iz posebej oblikovanih datotek .ZIP.
“Any file contained within a .ZIP can be configured in a way so that when it’s extracted, it will not contain MOTW markings,” Dorman says. “This allows an attacker to have a file that will operate in a way that makes it appear that it did not come from the Internet.” This makes it easier for them to trick users into running arbitrary code on their systems, Dormann notes.
Dormann says he cannot share details of the bug, because that would give away how attackers could leverage the flaw. But he says it affects all versions of Windows from XP on. He says one reason he has not heard from Microsoft likely is because the vulnerability was reported to them via CERT’s Vulnerability Information and Coordination Environment (VINCE), a platform that he says Microsoft has refused to use.
“I haven’t worked at CERT since late July, so I cannot say if Microsoft has attempted to contact CERT in any way from July on,” he cautions.
Dormann pravi, da so drugi varnostni raziskovalci poročali o napadalcih, ki aktivno izkoriščajo napako. Eden od njih je varnostni raziskovalec Kevin Beaumont, nekdanji analitik za obveščanje o grožnjah pri Microsoftu. V temi tvitov v začetku tega meseca je Beaumont poročal, da je napaka izkoriščena v naravi.
“This is without a doubt the najbolj neumni ničelni dan, na katerem sem delal,” Beaumont said.
V ločenem tvitu dan kasneje je Beaumont dejal, da želi izdati smernice za odkrivanje težave, vendar je zaskrbljen zaradi možnih posledic.
“If Emotet/Qakbot/etc find it they will 100% use it at scale,” he warned.
Microsoft did not respond to two Dark Reading requests seeking comment on Dormann’s reported vulnerabilities or whether it had any plans to address them, but Slovenia-based security firm Acros Security last week izdal neuradni popravek za to prvo ranljivost prek svoje platforme za popravke 0patch.
V komentarjih za Dark Reading Mitja Kolšek, izvršni direktor in soustanovitelj 0patch in Acros Security, pravi, da je lahko potrdil ranljivost, ki jo je Dormann julija prijavil Microsoftu.
“Yes, it is ridiculously obvious once you know it. That’s why we didn’t want to reveal any details,” he says. He says the code performing the unzipping of .ZIP files is flawed and only a code patch can fix that. “There are no workarounds,” Kolsek says.
Kolsek pravi, da težave ni težko izkoristiti, vendar dodaja, da sama ranljivost ni dovolj za uspešen napad. Za uspešno izkoriščanje bi moral napadalec še vedno prepričati uporabnika, da odpre datoteko v zlonamerno ustvarjenem arhivu .ZIP – poslanem kot priponko prek lažnega e-poštnega sporočila ali kopiranem z izmenljivega pogona, kot je na primer ključ USB.
“Normally, all files extracted from a .ZIP archive that is marked with MotW would also get this mark and would therefore trigger a security warning when opened or launched,” he says, but the vulnerability definitely allows attackers a way to bypass the protection. “We are not aware of any mitigating circumstances,” he adds.
Napaka 2: Prekrivanje MotW s poškodovanimi podpisi Authenticode
Druga ranljivost vključuje ravnanje z datotekami z oznako MotW, ki imajo poškodovane digitalne podpise Authenticode. Authenticode je Microsoftova tehnologija za podpisovanje kode ki potrjuje identiteto založnika določene programske opreme in ugotavlja, ali je bila programska oprema posegana po objavi.
Dormann pravi, da je odkril, da če ima datoteka napačno oblikovan podpis Authenticode, jo bo Windows obravnaval, kot da nima MotW; ranljivost povzroči, da Windows preskoči SmartScreen in druga opozorilna pogovorna okna, preden izvede datoteko JavaScript.
“Windows appears to ‘fail open’ when it encounters an error [when] processing Authenticode data,” Dormann says, and “it will no longer apply MotW protections to Authenticode-signed files, despite them actually still retaining the MotW.”
Dormann opisuje težavo, kot da prizadene vse različice sistema Windows od različice 10 dalje, vključno s strežniško različico sistema Windows Server 2016. Ranljivost omogoča napadalcem, da podpišejo katero koli datoteko, ki jo je mogoče podpisati z Authenticode na pokvarjen način – na primer datoteke .exe in datoteke JavaScript — in jih prenesti mimo zaščite MOTW.
Dormann pravi, da je za težavo izvedel po branju spletnega dnevnika HP Threat Research iz začetka tega meseca o a Kampanja z izsiljevalsko programsko opremo Magniber ki vključuje izkoriščanje napake.
It’s unclear if Microsoft is taking action, but for now, researchers continue to raise the alarm. “I have not received an official response from Microsoft, but at the same time, I have not officially reported the issue to Microsoft, as I’m no longer a CERT employee,” Dormann says. “I announced it publicly via Twitter, due to the vulnerability being used by attackers in the wild.”
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
