Två separata sårbarheter finns i olika versioner av Windows som gör att angripare kan smyga skadliga bilagor och filer förbi Microsofts säkerhetsfunktion Mark of the Web (MOTW).
Angripare utnyttjar båda problemen aktivt, enligt Will Dormann, en före detta mjukvarusårbarhetsanalytiker med CERT Coordination Center (CERT/CC) vid Carnegie Mellon University, som upptäckte de två buggarna. Men hittills har Microsoft inte utfärdat några korrigeringar för dem, och inga kända lösningar finns tillgängliga för organisationer att skydda sig själva, säger forskaren, som har krediterats för att ha upptäckt många nolldagssårbarheter under sin karriär.
MotW-skydd för otillförlitliga filer
MotW är en Windows-funktion utformad för att skydda användare mot filer från opålitliga källor. Märket i sig är en dold tagg som Windows bifogar till filer som laddats ner från Internet. Filer som bär MotW-taggen är begränsade i vad de gör och hur de fungerar. Till exempel, från och med MS Office 10 öppnas MotW-taggade filer som standard i Protected View, och körbara filer kontrolleras först för säkerhetsproblem av Windows Defender innan de tillåts köras.
"Många Windows-säkerhetsfunktioner - [som] Microsoft Office Protected View, SmartScreen, Smart App Control, [och] varningsdialoger - förlitar sig på närvaron av MotW för att fungera," Dormann, som för närvarande är senior sårbarhetsanalytiker på Analygence, berättar Dark Reading.
Bugg 1: MotW .ZIP Bypass, med inofficiell patch
Dormann rapporterade det första av de två MotW-bypass-problemen till Microsoft den 7 juli. Enligt honom misslyckas Windows med att tillämpa MotW på filer som extraherats från specifikt skapade .ZIP-filer.
"Alla filer som finns i en .ZIP kan konfigureras på ett sätt så att när den extraheras kommer den inte att innehålla MOTW-markeringar", säger Dorman. "Detta tillåter en angripare att ha en fil som kommer att fungera på ett sätt som gör att det verkar som om den inte kom från Internet." Detta gör det lättare för dem att lura användare att köra godtycklig kod på sina system, konstaterar Dormann.
Dormann säger att han inte kan dela detaljer om felet, eftersom det skulle ge bort hur angripare kan utnyttja felet. Men han säger att det påverkar alla versioner av Windows från och med XP. Han säger att en anledning till att han inte har hört från Microsoft troligen är att sårbarheten rapporterades till dem via CERT:s Vulnerability Information and Coordination Environment (VINCE), en plattform som han säger att Microsoft har vägrat att använda.
"Jag har inte arbetat på CERT sedan slutet av juli, så jag kan inte säga om Microsoft har försökt kontakta CERT på något sätt från och med juli," varnar han.
Dormann säger att andra säkerhetsforskare har rapporterat att angripare aktivt utnyttjar bristen. En av dem är säkerhetsforskaren Kevin Beaumont, en tidigare hotintelligence-analytiker på Microsoft. I en tweet-tråd tidigare den här månaden rapporterade Beaumont att felet utnyttjades i det vilda.
"Detta är utan tvekan dummaste nolldagen jag jobbat på", sa Beaumont.
I en separat tweet en dag senare sa Beaumont att han ville släppa detekteringsvägledning för problemet men var oroad över det potentiella nedfallet.
"Om Emotet/Qakbot/etc hittar det kommer de att använda det till 100% i skala", varnade han.
Microsoft svarade inte på två Dark Reading-förfrågningar för att få kommentarer om Dormanns rapporterade sårbarheter eller om de hade några planer på att åtgärda dem, men det slovenienbaserade säkerhetsföretaget Acros Security förra veckan släppte en inofficiell patch för denna första sårbarhet via sin 0patch-patchplattform.
I kommentarer till Dark Reading säger Mitja Kolsek, VD och medgrundare av 0patch och Acros Security, att han kunde bekräfta sårbarheten som Dormann rapporterade till Microsoft i juli.
"Ja, det är löjligt uppenbart när man väl vet det. Därför ville vi inte avslöja några detaljer”, säger han. Han säger att koden som utför packningen av .ZIP-filer är felaktig och bara en kodkorrigering kan fixa det. "Det finns inga lösningar", säger Kolsek.
Kolsek säger att problemet inte är svårt att utnyttja, men han tillägger att sårbarheten ensam inte räcker för en framgångsrik attack. För att kunna utnyttja framgångsrikt skulle en angripare fortfarande behöva övertyga en användare om att öppna en fil i ett skadligt skapat .ZIP-arkiv — skickat som en bilaga via ett nätfiske-e-postmeddelande eller kopierat från en flyttbar enhet som till exempel ett USB-minne.
"Normalt sett skulle alla filer som extraherats från ett .ZIP-arkiv som är märkta med MotW också få detta märke och skulle därför utlösa en säkerhetsvarning när de öppnas eller startas", säger han, men sårbarheten tillåter definitivt angripare ett sätt att kringgå skyddet. "Vi känner inte till några förmildrande omständigheter", tillägger han.
Bugg 2: Smyga förbi MotW med korrupta autentikodsignaturer
Den andra sårbarheten involverar hanteringen av MotW-taggade filer som har korrupta digitala Authenticode-signaturer. Authenticode är en Microsoft-kodsigneringsteknik som autentiserar identiteten för utgivaren av en viss mjukvara och avgör om programvaran har manipulerats efter att den publicerats.
Dormann säger att han upptäckte att om en fil har en felaktig Authenticode-signatur kommer den att behandlas av Windows som om den inte hade någon MotW; sårbarheten gör att Windows hoppar över SmartScreen och andra varningsdialoger innan en JavaScript-fil körs.
"Windows verkar 'misslyckas öppna' när det stöter på ett fel [när] bearbetning av Authenticode-data," säger Dormann, och "det kommer inte längre att tillämpa MotW-skydd på Authenticode-signerade filer, trots att de faktiskt fortfarande behåller MotW."
Dormann beskriver problemet som att det påverkar alla versioner av Windows från och med version 10, inklusive servervarianten av Windows Server 2016. Sårbarheten ger angripare ett sätt att signera vilken fil som helst som kan signeras av Authenticode på ett korrupt sätt – till exempel .exe-filer och JavaScript-filer - och smyga dem förbi MOTW-skydd.
Dormann säger att han fick reda på problemet efter att ha läst en HP Threat Research-blogg från tidigare denna månad om en Magniber ransomware-kampanj involverar en exploatering för bristen.
Det är oklart om Microsoft vidtar åtgärder, men för närvarande fortsätter forskare att slå larm. "Jag har inte fått något officiellt svar från Microsoft, men samtidigt har jag inte officiellt rapporterat problemet till Microsoft, eftersom jag inte längre är en CERT-anställd", säger Dormann. "Jag meddelade det offentligt via Twitter, på grund av sårbarheten som används av angripare i det vilda."
