Windows Mark ของเว็บ Zero-Days ยังคงไม่มี Patchless ภายใต้ Exploit

มีช่องโหว่ XNUMX ช่องโหว่ใน Windows เวอร์ชันต่างๆ ซึ่งช่วยให้ผู้โจมตีสามารถแอบดูไฟล์แนบที่เป็นอันตรายและไฟล์ผ่านคุณลักษณะการรักษาความปลอดภัย Mark of the Web (MOTW) ของ Microsoft

Will Dormann อดีตนักวิเคราะห์ช่องโหว่ด้านซอฟต์แวร์ของ CERT Coordination Center (CERT/CC) ที่ Carnegie Mellon University ผู้ค้นพบช่องโหว่ดังกล่าวกล่าวว่าผู้โจมตีกำลังใช้ประโยชน์จากทั้งสองประเด็นนี้อย่างแข็งขัน แต่จนถึงขณะนี้ Microsoft ยังไม่ได้ออกวิธีแก้ไขใดๆ สำหรับพวกเขา และไม่มีวิธีแก้ไขปัญหาชั่วคราวที่องค์กรสามารถป้องกันตนเองได้ นักวิจัยผู้ซึ่งได้รับการยกย่องว่าเป็นผู้ค้นพบช่องโหว่ซีโร่เดย์จำนวนมากในอาชีพการงานของเขา กล่าว

การป้องกัน MotW สำหรับไฟล์ที่ไม่น่าเชื่อถือ

MotW เป็นคุณลักษณะของ Windows ที่ออกแบบมาเพื่อปกป้องผู้ใช้จากไฟล์จากแหล่งที่ไม่น่าเชื่อถือ เครื่องหมายตัวเองคือ แท็กที่ซ่อนอยู่ซึ่ง Windows แนบมา ไปยังไฟล์ที่ดาวน์โหลดจากอินเทอร์เน็ต ไฟล์ที่มีแท็ก MotW ถูกจำกัดในสิ่งที่พวกเขาทำและวิธีทำงาน ตัวอย่างเช่น เริ่มต้นด้วย MS Office 10 ไฟล์ที่ติดแท็ก MotW จะเปิดขึ้นโดยค่าเริ่มต้นในมุมมองที่ได้รับการป้องกัน และโปรแกรมปฏิบัติการจะได้รับการตรวจสอบปัญหาด้านความปลอดภัยโดย Windows Defender ก่อนจึงจะได้รับอนุญาตให้เรียกใช้ได้

“ฟีเจอร์ความปลอดภัยของ Windows มากมาย — [เช่น] มุมมอง Microsoft Office Protected, SmartScreen, Smart App Control, [และ] กล่องโต้ตอบการเตือน — อาศัยการทำงานของ MotW” Dormann ซึ่งปัจจุบันเป็นนักวิเคราะห์ช่องโหว่อาวุโสของ Analygence บอกดาร์กรีดดิ้ง

ข้อผิดพลาด 1: MotW .ZIP Bypass พร้อม Patch ที่ไม่เป็นทางการ

Dormann รายงานปัญหาการบายพาส MotW สองปัญหาแรกกับ Microsoft เมื่อวันที่ 7 กรกฎาคม ตามที่เขาพูด Windows ล้มเหลวในการใช้ MotW กับไฟล์ที่แยกจากไฟล์ .ZIP ที่สร้างขึ้นโดยเฉพาะ

“ไฟล์ใดๆ ที่อยู่ใน .ZIP สามารถกำหนดค่าในลักษณะที่เมื่อแตกไฟล์แล้วจะไม่มีเครื่องหมาย MOTW” Dorman กล่าว “สิ่งนี้ทำให้ผู้โจมตีมีไฟล์ที่จะทำงานในลักษณะที่ดูเหมือนว่าไม่ได้มาจากอินเทอร์เน็ต” สิ่งนี้ทำให้พวกเขาหลอกผู้ใช้ให้รันโค้ดโดยอำเภอใจบนระบบได้ง่ายขึ้น Dormann กล่าว

Dormann กล่าวว่าเขาไม่สามารถเปิดเผยรายละเอียดของข้อบกพร่องได้ เพราะนั่นจะทำให้ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องได้อย่างไร แต่เขาบอกว่ามันมีผลกับ Windows ทุกรุ่นตั้งแต่ XP เป็นต้นไป เขากล่าวว่าเหตุผลหนึ่งที่เขาไม่เคยได้ยินจาก Microsoft น่าจะเป็นเพราะมีการรายงานช่องโหว่ผ่าน Vulnerability Information and Coordination Environment (VINCE) ของ CERT ซึ่งเป็นแพลตฟอร์มที่เขากล่าวว่า Microsoft ปฏิเสธที่จะใช้

“ฉันไม่ได้ทำงานที่ CERT ตั้งแต่ปลายเดือนกรกฎาคม ดังนั้นฉันจึงไม่สามารถพูดได้ว่า Microsoft ได้พยายามติดต่อ CERT ในทางใดทางหนึ่งตั้งแต่เดือนกรกฎาคมเป็นต้นไป” เขาเตือน

Dormann กล่าวว่านักวิจัยด้านความปลอดภัยคนอื่น ๆ รายงานว่ามีผู้โจมตีใช้ประโยชน์จากข้อบกพร่องอย่างแข็งขัน หนึ่งในนั้นคือนักวิจัยด้านความปลอดภัย Kevin Beaumont อดีตนักวิเคราะห์ข่าวกรองภัยคุกคามที่ Microsoft ในกระทู้ทวีตเมื่อต้นเดือนนี้ Beaumont ได้รายงานข้อบกพร่องดังกล่าวว่าถูกเอารัดเอาเปรียบในป่า

“นี่คือโดยไม่ต้องสงสัย ศูนย์วันที่โง่ที่สุดที่ฉันเคยทำงานมา” โบมอนต์กล่าว

ในทวีตที่แยกจากกันในอีกหนึ่งวันต่อมา โบมอนต์กล่าวว่าเขาต้องการเผยแพร่คำแนะนำในการตรวจจับปัญหา แต่กังวลเกี่ยวกับผลกระทบที่อาจเกิดขึ้น

“หาก Emotet/Qakbot/อื่นๆ พบพวกเขาจะใช้มันอย่างเต็มที่ 100%” เขาเตือน

Microsoft ไม่ตอบสนองต่อคำขอของ Dark Reading สองครั้งเพื่อขอความคิดเห็นเกี่ยวกับช่องโหว่ที่รายงานของ Dormann หรือมีแผนที่จะแก้ไขหรือไม่ แต่บริษัทรักษาความปลอดภัยในสโลวีเนีย Acros Security เมื่อสัปดาห์ที่แล้ว ปล่อยแพตช์ที่ไม่เป็นทางการ สำหรับช่องโหว่แรกนี้ผ่านแพลตฟอร์มการแพตช์ 0patch

ในความคิดเห็นของ Dark Reading, Mitja Kolsek, CEO และผู้ร่วมก่อตั้ง 0patch และ Acros Security กล่าวว่าเขาสามารถยืนยันช่องโหว่ที่ Dormann รายงานต่อ Microsoft ในเดือนกรกฎาคม

“ใช่ มันชัดเจนอย่างน่าขันเมื่อคุณรู้แล้ว นั่นเป็นเหตุผลที่เราไม่ต้องการเปิดเผยรายละเอียดใดๆ” เขากล่าว เขากล่าวว่าโค้ดที่ทำการคลายซิปของไฟล์ .ZIP มีข้อบกพร่องและมีเพียงโปรแกรมแก้ไขโค้ดเท่านั้นที่สามารถแก้ไขได้ “ไม่มีวิธีแก้ปัญหา” Kolsek กล่าว

Kolsek กล่าวว่าปัญหานี้ไม่ได้ยากต่อการใช้ประโยชน์ แต่เขาเสริมว่าช่องโหว่เพียงอย่างเดียวไม่เพียงพอสำหรับการโจมตีที่ประสบความสำเร็จ ในการใช้ประโยชน์ได้สำเร็จ ผู้โจมตียังคงต้องโน้มน้าวให้ผู้ใช้เปิดไฟล์ในไฟล์ .ZIP ที่ออกแบบมาเพื่อประสงค์ร้าย ซึ่งส่งเป็นไฟล์แนบผ่านอีเมลฟิชชิ่งหรือคัดลอกจากไดรฟ์แบบถอดได้ เช่น USB stick เป็นต้น

“โดยปกติ ไฟล์ทั้งหมดที่ดึงมาจากไฟล์ .ZIP ที่มีเครื่องหมาย MotW จะได้รับเครื่องหมายนี้ด้วย ดังนั้นจะทำให้เกิดคำเตือนด้านความปลอดภัยเมื่อเปิดหรือเปิดตัว” เขากล่าว แต่ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถหลีกเลี่ยงการป้องกันได้อย่างแน่นอน "เราไม่ทราบถึงสถานการณ์ที่บรรเทาลง" เขากล่าวเสริม

ข้อผิดพลาด 2: การแอบดู MotW ที่ผ่านมาด้วยลายเซ็น Authenticode ที่เสียหาย

ช่องโหว่ที่สองเกี่ยวข้องกับการจัดการไฟล์ที่ติดแท็ก MotW ที่มีลายเซ็นดิจิทัลของ Authenticode ที่เสียหาย Authenticode เป็นเทคโนโลยีการเซ็นโค้ดของ Microsoft ที่ตรวจสอบตัวตนของผู้เผยแพร่ซอฟต์แวร์ชิ้นใดชิ้นหนึ่งและพิจารณาว่าซอฟต์แวร์ถูกดัดแปลงหลังจากเผยแพร่หรือไม่

Dormann กล่าวว่าเขาค้นพบว่าหากไฟล์มีลายเซ็น Authenticode ที่มีรูปแบบไม่ถูกต้อง Windows จะถือว่าไฟล์นั้นไม่มี MotW; ช่องโหว่ดังกล่าวทำให้ Windows ข้าม SmartScreen และกล่องโต้ตอบคำเตือนอื่นๆ ก่อนเรียกใช้ไฟล์ JavaScript

"Windows ดูเหมือนจะ 'เปิดไม่สำเร็จ' เมื่อพบข้อผิดพลาด [เมื่อ] กำลังประมวลผลข้อมูล Authenticode" Dormann กล่าว และ "จะไม่นำการป้องกัน MotW ไปใช้กับไฟล์ที่ลงนามกับ Authenticode อีกต่อไป แม้ว่าจริง ๆ แล้วจะยังคงเก็บ MotW ไว้ก็ตาม"

Dormann อธิบายถึงปัญหาว่ามีผลกระทบต่อ Windows ทุกเวอร์ชันตั้งแต่เวอร์ชัน 10 ขึ้นไป ซึ่งรวมถึงเวอร์ชันเซิร์ฟเวอร์ของ Windows Server 2016 ช่องโหว่ดังกล่าวทำให้ผู้โจมตีมีวิธีลงชื่อไฟล์ใดๆ ก็ตามที่สามารถลงนามโดย Authenticode ในลักษณะที่เสียหายได้ เช่น ไฟล์ .exe และไฟล์ JavaScript และแอบดูผ่านการป้องกัน MOTW

Dormann กล่าวว่าเขาได้เรียนรู้ปัญหานี้หลังจากอ่านบล็อก HP Threat Research เมื่อต้นเดือนนี้เกี่ยวกับa Magniber ransomware แคมเปญ ที่เกี่ยวข้องกับการหาประโยชน์จากข้อบกพร่อง

ไม่ชัดเจนว่า Microsoft กำลังดำเนินการอยู่หรือไม่ แต่สำหรับตอนนี้ นักวิจัยยังคงส่งสัญญาณเตือนต่อไป “ฉันยังไม่ได้รับการตอบกลับอย่างเป็นทางการจาก Microsoft แต่ในขณะเดียวกัน ฉันไม่ได้รายงานปัญหาดังกล่าวกับ Microsoft อย่างเป็นทางการ เนื่องจากฉันไม่ใช่พนักงาน CERT อีกต่อไป” Dormann กล่าว “ฉันประกาศต่อสาธารณะผ่าน Twitter เนื่องจากช่องโหว่ที่ผู้โจมตีใช้ในป่า”