Компания за киберсигурност пусна друга неофициална корекция за отстраняване на грешка в Windows, която Microsoft все още не е коригирала, тъй като тази уязвимост се използва активно за разпространение на ransomware.
Превъртете назад до 17 октомври, Acros Security гръден кош Малка двоична корекция за справяне с грешка във функцията Mark-of-the-Web (MotW) на Microsoft. Тази функция трябва да зададе флаг в метаданните на файлове, получени от интернет, USB памет и други ненадеждни източници. Този флаг гарантира, че когато тези файлове се отворят, се инициират допълнителни мерки за защита на сигурността, като например блокиране на изпълнението на макроси от Office или проверка дали потребителят наистина иска да изпълни exe.
Оказва се, че е възможно да заобиколите тази функция, да накарате файловете, изтеглени от мрежата, да не бъдат маркирани с MotW, като по този начин заобиколите цялата тази защита, когато ги отворите. По-конкретно, нападател може да попречи на Windows да маркира файлове с флаг MotW, извлечени от ZIP архив, получен от ненадежден източник. Това може да бъде използвано от злосторници, за да примамят тагове за отваряне на zip архиви и стартиране на злонамерен софтуер вътре, без да се блокират очакваните предпазни мерки за сигурност. Грешката е маркирана преди месеци Написано от Уил Дорман, старши анализатор на уязвимости в Analytics.
Microsoft все още не е коригирала тази грешка. ИТ суперинтендантът Кевин Бомонт каза на 10 октомври, че грешката вече съществува експлоатиран в дивата природа. Acros постави микролепенка около седмица по-късно, която може да се приложи, за да затвори тази дупка, докато чака Редмънд да навакса.
Acros вече е изпратен Друг пластир Което адресира свързан пропуск в сигурността на MotW в Windows, който Microsoft все още не е коригирал отново.
какво ново?
Само дни преди пускането на първата корекция, HP Wolf Security сподели файл Докладвай За поредица от инфекции с ransomware през септември, всяка от които започна с изтегляния от мрежата. Жертвите бяха помолени да донесат zip архив, съдържащ JavaScript файл, маскиран като антивирусна или софтуерна актуализация на Windows.
Когато скриптът се изпълни, той всъщност внедри Magniber, серия от рансъмуер, насочен към домашни потребители на Windows. Той замъглява документи и може да изнуди до 2500 долара от жертвите, за да си върне данните, според Wolf Security.
„Въпреки че Magniber не попада в категорията на лов на едър дивеч, той все още може да причини значителни щети“, пише Team Wolf в своя доклад, като Big Game Hunting се позовава на измамници, които конкретно заразяват големи, богати компании с надеждата да получат големи заплати . . „Домашните потребители бяха вероятната цел на този злонамерен софтуер въз основа на поддържаните версии на ОС и UAC байпас.“
Най-важното, анализаторът на зловреден софтуер на HP Патрик Шлапфер посочи Онзи злонамерен JavaScript в ZIP архива на Magniber тя го направи носеше флага MotW, но все пак беше екзекутиран без a умен екран Появява се предупреждение или за спиране на исканото действие, или за предупреждаване на потребителя да продължи, както бихте очаквали за архив, изтеглен онлайн. Митя Колсек, главен изпълнителен директор на Acros, потвърди, че SmartScreen е бил прескочен от скрипта Magniber.
SmartScreen на Microsoft трябва, наред с други неща, да блокира очевидни злонамерени файлове или да предупреждава потребителите, ако даден файл изглежда подозрителен, но съдържанието на Magniber ZIP архива успя да направи странична стъпка в процеса изцяло. Това означава: Има грешка в Windows, която е била използвана, така че флагът MotW да не се прилага към файлове, получени от интернет, и сега има експлоатиране на свързана уязвимост, където MotW е зададен, но няма ефект.
„Не забравяйте, че в Windows 10 и Windows 11 отварянето на всеки потенциално злонамерен файл ще започне сканиране на SmartScreen за споменатия файл, като SmartScreen определя дали файлът е чист за стартиране или потребителят трябва да бъде предупреден“, каза Колсек.
И се оказва, че скриптовият файл в Magniber ZIP заобикаля SmartScreen поради неправилно подписване на токен за цифрово удостоверяване. Този подпис обърква Windows, така че само скриптът може да се изпълнява, въпреки че флагът му MotW е зададен.
Дорман в Анализ чуруликам На 18 октомври в отговор на Schlapfer, че „Ако даден файл съдържа този неправилен подпис за удостоверяване, диалоговият прозорец за предупреждение SmartScreen и/или отворен файл ще бъде пропуснат независимо от съдържанието на скрипта, сякаш няма MotW във файла.“
Microsoft Authentication Token е технология за подписване на цифров код, която идентифицира издателя и потвърждава, че софтуерът не е бил подправен, след като е бил подписан и пуснат. Дорман установи, че сигнатурата на файла на скрипта е толкова изкривена, че Windows “дори не може да го анализира правилно. Това, по някаква странна причина, доведе до това, че Windows им се доверява – и позволява на злонамерените изпълними файлове да се изпълняват без предупреждение”, пише Кослек.
Допълнителни сканирания от Acros Security установиха, че грешката е възникнала, защото SmartScreen, когато се опитва да анализира деформирания подпис, връща грешка, карайки операционната система да изпълни софтуерна реклама, за да зарази устройството, без да задейства предупреждение.
Най-новата версия на Acros, пусната на 28 октомври, работи с Windows 11 версия 21H2, осем версии на Windows 10, включително 21H1 и 21H2, и Windows Server версии 2019 и 2022, каза ни.
Говорител на Microsoft ни каза за тази последна уязвимост: „Наясно сме с тази технология и проучваме, за да идентифицираме подходящи стъпки за справяне с проблема.“ ®