У різних версіях Windows існують дві окремі вразливості, які дозволяють зловмисникам проникати зловмисними вкладеннями та файлами через функцію безпеки Microsoft Mark of the Web (MOTW).
За словами Вілла Дорманна, колишнього аналітика вразливостей програмного забезпечення з Координаційного центру CERT (CERT/CC) в Університеті Карнегі-Меллона, зловмисники активно використовують обидві проблеми. Але наразі Microsoft не випустила жодних виправлень для них, і жодних відомих обхідних шляхів для організацій немає, щоб захистити себе, каже дослідник, якому приписують відкриття численних уразливостей нульового дня за його кар’єру.
Захист MotW для ненадійних файлів
MotW — це функція Windows, призначена для захисту користувачів від файлів із ненадійних джерел. Сам знак є прихований тег, який додає Windows до файлів, завантажених з Інтернету. Файли, які містять тег MotW, обмежені тим, що вони роблять і як вони функціонують. Наприклад, починаючи з MS Office 10, файли з тегами MotW відкриваються за замовчуванням у режимі захищеного перегляду, а виконувані файли спочатку перевіряються на наявність проблем безпеки Windows Defender, перш ніж їм буде дозволено запускатися.
«Багато функцій безпеки Windows — [таких як] Microsoft Office Protected view, SmartScreen, Smart App Control [і] діалогові вікна попереджень — для роботи покладаються на присутність MotW, — Дорманн, який зараз є старшим аналітиком уразливостей у Analygence, розповідає Dark Reading.
Помилка 1: обхід MotW .ZIP із неофіційним патчем
Дорманн повідомив Microsoft про першу з двох проблем обходу MotW 7 липня. За його словами, Windows не може застосувати MotW до файлів, отриманих із спеціально створених файлів .ZIP.
«Будь-який файл, що міститься в .ZIP, можна налаштувати таким чином, щоб під час його розпакування він не містив маркування MOTW», — говорить Дорман. «Це дозволяє зловмиснику мати файл, який працюватиме таким чином, що створюватиме враження, що він надійшов не з Інтернету». Це полегшує для них обманом змусити користувачів запускати довільний код у їхніх системах, зазначає Дорманн.
Дорманн каже, що він не може поділитися деталями помилки, тому що це дасть зрозуміти, як зловмисники можуть використати недолік. Але він каже, що це стосується всіх версій Windows, починаючи з XP. Він каже, що одна з причин, чому він не отримав жодної інформації від Microsoft, полягає в тому, що їм було повідомлено про вразливість через середовище інформації про вразливості та координацію (VINCE) CERT, платформу, яку, за його словами, Microsoft відмовилася використовувати.
«Я не працював у CERT з кінця липня, тому я не можу сказати, чи намагалася Microsoft якимось чином зв’язатися з CERT з липня», — застерігає він.
Дорманн каже, що інші дослідники безпеки повідомляли про те, що зловмисники активно використовують недолік. Один із них — дослідник безпеки Кевін Бомонт, колишній аналітик із розвідки загроз у Microsoft. У твіті на початку цього місяця Бомонт повідомив, що недолік використовують у дикій природі.
«Це без сумніву найдурніший нульовий день, над яким я працював", - сказав Бомонт.
В окремому твіті через день Бомонт сказав, що хотів би опублікувати вказівки щодо виявлення проблеми, але був стурбований потенційними наслідками.
«Якщо Emotet/Qakbot/інші знайдуть його, вони на 100% використовуватимуть його в масштабі», – попередив він.
Корпорація Майкрософт не відповіла на два запити Dark Reading із проханням прокоментувати вразливості, про які повідомляє Dormann, або чи планує їх усунути, але словенська фірма безпеки Acros Security минулого тижня випустив неофіційний патч для цієї першої вразливості через свою платформу виправлення 0patch.
У коментарях для Dark Reading Мітя Колсек, генеральний директор і співзасновник 0patch і Acros Security, каже, що йому вдалося підтвердити вразливість, про яку Дорманн повідомив Microsoft у липні.
«Так, це до смішного очевидно, коли ти це знаєш. Тому ми не хотіли розкривати жодних подробиць», – каже він. Він каже, що код, який розпаковує файли .ZIP, має недоліки, і лише виправлення коду може це виправити. «Немає обхідних шляхів», — каже Колсек.
Колсек каже, що цю проблему неважко використовувати, але він додає, що однієї вразливості недостатньо для успішної атаки. Для успішного використання зловмиснику все одно потрібно буде переконати користувача відкрити файл у зловмисно створеному архіві .ZIP — надісланому у вигляді вкладення у фішинговому електронному листі або скопійованому зі знімного диска, наприклад, USB-накопичувача.
«Зазвичай усі файли, витягнуті з архіву .ZIP, позначеного MotW, також отримають цю позначку і, отже, ініціюють попередження системи безпеки під час відкриття або запуску», — каже він, але ця вразливість безперечно дозволяє зловмисникам обійти захист. «Нам не відомо про будь-які пом’якшуючі обставини», – додає він.
Помилка 2: Проникнення MotW із пошкодженими підписами Authenticode
Друга вразливість передбачає обробку файлів з тегами MotW, які мають пошкоджені цифрові підписи Authenticode. Authenticode — це технологія підпису коду Microsoft який засвідчує особу видавця певної частини програмного забезпечення та визначає, чи було програмне забезпечення підроблено після публікації.
Дорманн каже, що він виявив, що якщо файл має неправильний підпис Authenticode, Windows сприйматиме його так, ніби він не мав MotW; уразливість змушує Windows пропускати SmartScreen та інші діалогові вікна попереджень перед виконанням файлу JavaScript.
«Схоже, що Windows «не відкривається», коли вона стикається з помилкою [під час] обробки даних Authenticode», — говорить Дорманн, і «вона більше не застосовуватиме захист MotW до файлів, підписаних Authenticode, незважаючи на те, що вони фактично все ще зберігають MotW».
Дорманн описує проблему як таку, що стосується кожної версії Windows, починаючи з версії 10, включаючи серверний варіант Windows Server 2016. Уразливість дає зловмисникам можливість підписати будь-який файл, який може бути підписано Authenticode у пошкоджений спосіб, наприклад файли .exe. та файли JavaScript — і пропустіть його поза захистом MOTW.
Дорманн каже, що він дізнався про проблему, прочитавши блог HP Threat Research на початку цього місяця про a Кампанія програм-вимагачів Magniber використовуючи експлойт для вади.
Незрозуміло, чи Microsoft вживає заходів, але наразі дослідники продовжують бити тривогу. «Я не отримав офіційної відповіді від Microsoft, але в той же час я офіційно не повідомляв Microsoft про проблему, оскільки я більше не є співробітником CERT», — говорить Дорманн. «Я оголосив про це публічно через Twitter через уразливість, яку використовують зловмисники в дикій природі».
