不同版本的 Windows 中存在两个单独的漏洞,允许攻击者通过 Microsoft 的 Mark of the Web (MOTW) 安全功能窃取恶意附件和文件。
卡内基梅隆大学 CERT 协调中心 (CERT/CC) 前软件漏洞分析师 Will Dormann 发现了这两个漏洞,他表示,攻击者正在积极利用这两个问题。但到目前为止,微软尚未针对这些问题发布任何修复程序,也没有已知的解决方法可供组织机构保护自己,这位研究人员表示,他在职业生涯中发现了许多零日漏洞。
MotW 对不受信任文件的保护
MotW 是一项 Windows 功能,旨在保护用户免受来自不受信任来源的文件的侵害。标记本身是 Windows 附加的隐藏标签 从 Internet 下载的文件。带有 MotW 标签的文件的用途和功能受到限制。例如,从 MS Office 10 开始,MotW 标记的文件默认在受保护的视图中打开,并且可执行文件在允许运行之前首先由 Windows Defender 审查安全问题。
“许多 Windows 安全功能 - [例如] Microsoft Office Protected view、SmartScreen、智能应用程序控制和 [和] 警告对话框 - 都依赖于 MotW 的存在来发挥作用,”Dormann 目前是 Analygence 的高级漏洞分析师,讲述暗读。
Bug 1:MotW .ZIP 绕过,带有非官方补丁
Dormann 于 7 月 XNUMX 日向 Microsoft 报告了两个 MotW 绕过问题中的第一个。据他称,Windows 无法将 MotW 应用于从特制 .ZIP 文件中提取的文件。
“.ZIP 中包含的任何文件都可以通过某种方式进行配置,以便在解压时不会包含 MOTW 标记,”Dorman 说。 “这使得攻击者能够获得一个文件,该文件的运行方式会让人觉得该文件并非来自互联网。”多尔曼指出,这使得他们更容易欺骗用户在其系统上运行任意代码。
多尔曼表示,他无法分享该漏洞的详细信息,因为这会泄露攻击者如何利用该漏洞。但他表示,这会影响从 XP 开始的所有 Windows 版本。他说,他没有收到微软消息的一个原因可能是因为该漏洞是通过 CERT 的漏洞信息和协调环境 (VINCE) 向他们报告的,他说微软拒绝使用该平台。
“自 7 月下旬以来,我就没有在 CERT 工作过,因此我无法确定从 7 月起 Microsoft 是否尝试以任何方式联系 CERT,”他警告说。
多曼说,其他安全研究人员报告称,看到攻击者积极利用该漏洞。其中之一是安全研究员 Kevin Beaumont,他是微软前威胁情报分析师。在本月早些时候的一条推文中,博蒙特报告称该漏洞已在野外被利用。
“这无疑是 我开发过的最愚蠢的零日,”博蒙特说。
一天后,博蒙特在另一条推文中表示,他希望发布针对该问题的检测指南,但担心潜在的后果。
“如果 Emotet/Qakbot/等找到它,他们将 100% 大规模使用它,”他警告说。
微软没有回应两项暗读请求,要求对 Dormann 报告的漏洞发表评论,也没有回应是否有解决这些漏洞的计划,但斯洛文尼亚的安全公司 Acros Security 上周 发布了一个非官方补丁 通过其 0patch 修补平台修复了第一个漏洞。
0patch 和 Acros Security 的首席执行官兼联合创始人 Mitja Kolsek 在 Dark Reading 的评论中表示,他能够确认 Dormann 在 XNUMX 月份向微软报告的漏洞。
“是的,一旦你知道了,它就变得非常明显了。这就是为什么我们不想透露任何细节,”他说。他表示,执行 .ZIP 文件解压缩的代码存在缺陷,只有代码补丁才能修复该问题。 “没有解决方法,”科尔塞克说。
Kolsek 表示,这个问题并不难利用,但他补充说,仅靠这个漏洞不足以成功发起攻击。要成功利用该漏洞,攻击者仍然需要说服用户打开恶意制作的 .ZIP 存档中的文件 - 通过网络钓鱼电子邮件作为附件发送或从可移动驱动器(例如 USB 记忆棒)复制。
“通常情况下,从带有 MotW 标记的 .ZIP 存档中提取的所有文件也会获得此标记,因此在打开或启动时会触发安全警告,”他说,但该漏洞确实为攻击者提供了绕过保护的方法。 “我们不知道有任何减轻处罚的情况,”他补充道。
Bug 2:使用损坏的验证码签名偷偷通过 MotW
第二个漏洞涉及处理具有损坏的 Authenticode 数字签名的 MotW 标记文件。 Authenticode 是 Microsoft 代码签名技术 它验证特定软件的发布者的身份,并确定该软件在发布后是否被篡改。
Dormann 说,他发现如果一个文件具有格式错误的 Authenticode 签名,Windows 会将其视为没有 MotW;该漏洞导致 Windows 在执行 JavaScript 文件之前跳过 SmartScreen 和其他警告对话框。
“当处理 Authenticode 数据时遇到错误时,Windows 似乎‘无法打开’,”Dormann 说,“它将不再对 Authenticode 签名的文件应用 MotW 保护,尽管它们实际上仍然保留 MotW。”
Dormann 将该问题描述为影响从版本 10 开始的所有 Windows 版本,包括 Windows Server 2016 的服务器变体。该漏洞为攻击者提供了一种方法,可以对 Authenticode 以损坏方式签名的任何文件(例如 .exe 文件)进行签名。和 JavaScript 文件——并使其绕过 MOTW 保护。
多尔曼表示,他是在阅读本月早些时候的惠普威胁研究博客后了解到这个问题的。 Magniber 勒索软件活动 涉及对该缺陷的利用。
目前尚不清楚微软是否正在采取行动,但目前研究人员仍在继续发出警报。 “我还没有收到微软的正式回复,但同时,我也没有正式向微软报告这个问题,因为我不再是 CERT 员工,”多尔曼说。 “我通过 Twitter 公开宣布了这一消息,因为该漏洞已被攻击者广泛利用。”
