Aktívne zraniteľný Windows MoTW zero-day dostane neoficiálnu opravu.


Bola vydaná bezplatná neoficiálna oprava pre aktívne využívanú zero-day, ktorá umožňuje súborom podpísaným s chybnými podpismi obísť bezpečnostné varovania Mark-of-the-Web vo Windows 10 a Windows 11.

Minulý víkend BleepingComputer oznámil, že aktéri hrozieb používali samostatné súbory JavaScript na inštaláciu ransomvéru Magniber na zariadenia obetí.

Keď používateľ stiahne súbor z internetu, Microsoft pridá k súboru príznak Mark-of-the-Web, čo spôsobí, že operačný systém zobrazí bezpečnostné upozornenia pri spustení súboru, ako je uvedené nižšie.

Zdroj: BleepingComputer

Tieto súbory JavaScript Magniber boli zraniteľné tým, že aj keď obsahovali značku webu, systém Windows pri ich spustení nezobrazoval žiadne bezpečnostné upozornenia.

Po analýze Willom Dormannom, senior analytikom v ANALYGENCE zistili, že súbory JavaScript boli digitálne podpísané pomocou chybného podpisu.

Keď sa otvorí škodlivý súbor s jedným z týchto poškodených podpisov, namiesto toho, aby bol programom Microsoft SmartScreen označený a zobrazilo sa bezpečnostné varovanie, systém Windows automaticky povolí spustenie programu. Obrázok nižšie ukazuje, ako táto zraniteľnosť umožňuje súboru (‚calc-othersig.js‚) s chybným podpisom obísť bezpečnostné varovanie Mark-of-the-Web. Microsoft povedal, že o probléme vedia a vyšetrujú ho.

Zdroj: BleepingComputer

Vydaný bezplatný neoficiálny patch

Keďže táto zraniteľnosť nultého dňa sa aktívne využíva pri útokoch ransomvéru, služba micropatch 0patch sa rozhodla vydať neoficiálnu opravu, ktorú možno použiť, kým Microsoft nevydá oficiálnu aktualizáciu zabezpečenia.

V blogovom príspevku 0patch spoluzakladateľ Mitja Kolsek vysvetľuje, že táto chyba je spôsobená neschopnosťou Windows SmartScreen analyzovať poškodený podpis v súbore.

Keď SmartScreen nedokáže analyzovať podpis, systém Windows nesprávne povolí spustenie programu namiesto toho, aby zobrazil chybu. „Neplatný podpis, ktorý objavili Patrick a Will spôsobil, že SmartScreen.exe vyvolal výnimku, keď podpis nebolo možné analyzovať, čo malo za následok, že SmartScreen vrátil chybu,“ vysvetľuje Kolsek.

Čo teraz vieme, je že musíme pred hrozbou rýchlo „utiecť“.

Kolsek varoval, že hoci ich patch opravuje väčšinu scenárov útokov, môžu nastať aj situácie, ktoré jeho patch obídu.

„Zatiaľ čo naša oprava opravuje najzjavnejšiu chybu, jej užitočnosť závisí od aplikácie, ktorá súbor otvorí pomocou funkcie DoSafeOpenPromptForShellExe v shdocvw.dll a nie nejakého iného mechanizmu,“ varuje Kolsek.

„Nie sme si vedomí iného takéhoto mechanizmu v systéme Windows, ale technicky by mohol existovať.“

Kým spoločnosť Microsoft nevydá oficiálne aktualizácie na odstránenie chyby, spoločnosť 0patch vyvinula bezplatné opravy pre nasledujúce ovplyvnené verzie systému Windows:

  1. Windows 11 v21H2
  2. Windows 10 v21H2
  3. Windows 10 v21H1
  4. Windows 10 v20H2
  5. Windows 10 v2004
  6. Windows 10 v1909
  7. Windows 10 v1903
  8. Windows 10 v1809
  9. Windows 10 v1803
  10. Windows Server 2022
  11. Windows Server 2019

Ak chcete nainštalovať mikropatch do svojho zariadenia so systémom Windows, budete si musieť zaregistrovať bezplatný účet 0patch a nainštalovať jeho agenta.

Po nainštalovaní agenta sa záplaty aplikujú automaticky bez potreby reštartovania systému, ak neexistujú žiadne problémy, ktoré by ho blokovali.

Záver

Pokiaľ chcete predísť riziku zraniteľného Windows hneď po inštalácií, určite si stiahnite bezplatnú verziu od 0patch. Jedná sa teda primárne o potrebu väčších firiem ktoré svojich klientov a zamestnancov potrebujú chrániť.