Hai lỗ hổng riêng biệt tồn tại trong các phiên bản Windows khác nhau cho phép kẻ tấn công lén lấy các tệp và tệp đính kèm độc hại qua tính năng bảo mật Mark of the Web (MOTW) của Microsoft.
Theo Will Dormann, cựu nhà phân tích lỗ hổng phần mềm của Trung tâm Điều phối CERT (CERT / CC) tại Đại học Carnegie Mellon, những kẻ tấn công đang tích cực khai thác cả hai vấn đề. Nhưng cho đến nay, Microsoft vẫn chưa đưa ra bất kỳ bản sửa lỗi nào cho chúng và không có giải pháp thay thế nào được biết đến để các tổ chức tự bảo vệ mình, nhà nghiên cứu, người được cho là đã phát hiện ra nhiều lỗ hổng zero-day trong sự nghiệp của mình cho biết.
Bảo vệ MotW cho các tệp không đáng tin cậy
MotW là một tính năng của Windows được thiết kế để bảo vệ người dùng khỏi các tệp từ các nguồn không đáng tin cậy. Bản thân nhãn hiệu là một thẻ ẩn mà Windows đính kèm tới các tệp được tải xuống từ Internet. Các tệp mang thẻ MotW bị hạn chế về những gì chúng làm và cách chúng hoạt động. Ví dụ: bắt đầu với MS Office 10, các tệp được gắn thẻ MotW sẽ mở theo mặc định trong Dạng xem được Bảo vệ và các tệp thực thi được Windows Defender kiểm tra các vấn đề bảo mật trước khi chúng được phép chạy.
“Nhiều tính năng bảo mật của Windows — [chẳng hạn như] Chế độ xem được bảo vệ của Microsoft Office, SmartScreen, Điều khiển ứng dụng thông minh, [và] hộp thoại cảnh báo — dựa vào sự hiện diện của MotW để hoạt động,” Dormann, hiện là nhà phân tích lỗ hổng cấp cao tại Analygence, cho biết. kể với Dark Reading.
Lỗi 1: Bỏ qua MotW .ZIP, với bản vá không chính thức
Dormann đã báo cáo sự cố đầu tiên trong số hai sự cố bỏ qua MotW cho Microsoft vào ngày 7 tháng XNUMX. Theo ông, Windows không thể áp dụng MotW cho các tệp được trích xuất từ các tệp .ZIP được chế tạo riêng.
Dorman nói: “Bất kỳ tệp nào có trong .ZIP đều có thể được định cấu hình theo cách để khi được giải nén, nó sẽ không chứa các dấu MOTW”. “Điều này cho phép kẻ tấn công có một tệp sẽ hoạt động theo cách khiến nó có vẻ như không đến từ Internet.” Điều này giúp họ dễ dàng lừa người dùng chạy mã tùy ý trên hệ thống của họ, Dormann lưu ý.
Dormann cho biết ông không thể chia sẻ thông tin chi tiết về lỗi này vì điều đó sẽ tiết lộ cách kẻ tấn công có thể lợi dụng lỗ hổng này. Nhưng ông nói nó ảnh hưởng đến tất cả các phiên bản Windows từ XP trở đi. Ông cho biết một lý do khiến ông chưa nhận được thông tin từ Microsoft có thể là do lỗ hổng này đã được báo cáo cho họ thông qua Môi trường điều phối và thông tin về lỗ hổng bảo mật (VINCE) của CERT, một nền tảng mà ông cho biết Microsoft đã từ chối sử dụng.
“Tôi đã không làm việc tại CERT kể từ cuối tháng 7, vì vậy tôi không thể nói liệu Microsoft có cố gắng liên hệ với CERT bằng bất kỳ cách nào từ tháng 7 trở đi hay không,” anh cảnh báo.
Dormann cho biết các nhà nghiên cứu bảo mật khác đã báo cáo rằng những kẻ tấn công đang tích cực khai thác lỗ hổng này. Một trong số đó là nhà nghiên cứu bảo mật Kevin Beaumont, cựu nhà phân tích tình báo về mối đe dọa tại Microsoft. Trong một chủ đề tweet vào đầu tháng này, Beaumont đã báo cáo lỗ hổng này là bị khai thác trong tự nhiên.
“Đây chắc chắn là ngày thứ XNUMX ngu ngốc nhất mà tôi đã làm việc“, Beaumont nói.
Trong một tweet riêng biệt một ngày sau đó, Beaumont cho biết ông muốn đưa ra hướng dẫn phát hiện cho vấn đề này nhưng lo ngại về khả năng xảy ra bụi phóng xạ.
Ông cảnh báo: “Nếu Emotet/Qakbot/etc tìm thấy nó, họ sẽ sử dụng nó 100% trên quy mô lớn”.
Microsoft đã không trả lời hai yêu cầu của Dark Reading để tìm kiếm bình luận về các lỗ hổng được báo cáo của Dormann hoặc liệu họ có bất kỳ kế hoạch nào để giải quyết chúng hay không, nhưng công ty bảo mật Acros Security có trụ sở tại Slovenia vào tuần trước phát hành một bản vá không chính thức cho lỗ hổng đầu tiên này thông qua nền tảng vá lỗi 0patch.
Trong bình luận với Dark Reading, Mitja Kolsek, Giám đốc điều hành và đồng sáng lập của 0patch và Acros Security, cho biết ông đã có thể xác nhận lỗ hổng mà Dormann đã báo cáo cho Microsoft vào tháng Bảy.
“Đúng, điều đó rõ ràng đến nực cười một khi bạn biết điều đó. Đó là lý do tại sao chúng tôi không muốn tiết lộ bất kỳ chi tiết nào”, ông nói. Ông cho biết mã thực hiện giải nén tệp .ZIP có sai sót và chỉ có bản vá mã mới có thể khắc phục điều đó. “Không có cách giải quyết nào cả,” Kolsek nói.
Kolsek nói rằng vấn đề không khó để khai thác, nhưng anh ấy nói thêm rằng chỉ riêng lỗ hổng là không đủ cho một cuộc tấn công thành công. Để khai thác thành công, kẻ tấn công vẫn cần thuyết phục người dùng mở tệp trong kho lưu trữ .ZIP được tạo thủ công độc hại - được gửi dưới dạng tệp đính kèm qua email lừa đảo hoặc sao chép từ ổ đĩa di động như USB chẳng hạn.
Ông nói: “Thông thường, tất cả các tệp được trích xuất từ kho lưu trữ .ZIP được đánh dấu MotW cũng sẽ có dấu này và do đó sẽ kích hoạt cảnh báo bảo mật khi được mở hoặc khởi chạy,” nhưng lỗ hổng này chắc chắn cho phép kẻ tấn công có cách để vượt qua lớp bảo vệ. Ông nói thêm: “Chúng tôi không biết về bất kỳ tình tiết giảm nhẹ nào.
Lỗi 2: Quay lén MotW trong quá khứ với chữ ký mã xác thực bị hỏng
Lỗ hổng thứ hai liên quan đến việc xử lý các tệp được gắn thẻ MotW có chữ ký số Authenticode bị hỏng. Mã xác thực là một công nghệ ký mã của Microsoft xác thực danh tính của nhà xuất bản của một phần phần mềm cụ thể và xác định xem phần mềm đó có bị giả mạo sau khi nó được xuất bản hay không.
Dormann cho biết anh đã phát hiện ra rằng nếu một tệp có chữ ký Authenticode không đúng định dạng, nó sẽ được Windows xử lý như thể nó không có MotW; lỗ hổng bảo mật khiến Windows bỏ qua SmartScreen và các hộp thoại cảnh báo khác trước khi thực thi tệp JavaScript.
“Windows có vẻ 'không mở được' khi gặp lỗi [khi] xử lý dữ liệu Authenticode,” Dormann nói, và “nó sẽ không còn áp dụng biện pháp bảo vệ MotW cho các tệp có chữ ký Authenticode nữa, mặc dù chúng thực sự vẫn giữ MotW.”
Dormann mô tả vấn đề ảnh hưởng đến mọi phiên bản Windows từ phiên bản 10 trở đi, bao gồm cả phiên bản máy chủ của Windows Server 2016. Lỗ hổng bảo mật cung cấp cho những kẻ tấn công cách ký bất kỳ tệp nào có thể được ký bằng Authenticode theo cách bị hỏng - chẳng hạn như tệp .exe và các tệp JavaScript - và vượt qua sự bảo vệ của MOTW.
Dormann nói rằng anh ấy đã biết về vấn đề này sau khi đọc một blog của HP Threat Research từ đầu tháng này về một Chiến dịch ransomware Magniber liên quan đến việc khai thác lỗ hổng.
Không rõ liệu Microsoft có hành động hay không nhưng hiện tại, các nhà nghiên cứu vẫn tiếp tục đưa ra cảnh báo. Dormann nói: “Tôi chưa nhận được phản hồi chính thức từ Microsoft, nhưng đồng thời, tôi cũng chưa báo cáo vấn đề chính thức với Microsoft vì tôi không còn là nhân viên CERT nữa. “Tôi đã thông báo công khai thông qua Twitter, do lỗ hổng này đang được những kẻ tấn công lợi dụng một cách tự nhiên.”
