.
Uma empresa de segurança cibernética emitiu outro patch não oficial para eliminar um bug no Windows que a Microsoft ainda não corrigiu, com esse buraco sendo ativamente explorado para espalhar ransomware.
Rebobine até 17 de outubro e Acros Security lançado um pequeno patch binário para resolver uma falha no recurso Mark-of-the-Web (MotW) da Microsoft. Esse recurso deve definir um sinalizador nos metadados para arquivos obtidos da Internet, pendrives e outras fontes não confiáveis. Esse sinalizador garante que, quando esses arquivos forem abertos, proteções de segurança extras sejam ativadas, como o Office bloqueando a execução de macros ou o sistema operacional verificando se o usuário realmente deseja executar esse .exe.
Acontece que é possível contornar esse recurso e fazer com que os arquivos baixados da web não carreguem o sinalizador MotW, contornando todas essas proteções quando abertos. Especificamente, um invasor pode impedir que o Windows coloque o sinalizador MotW em arquivos extraídos de um arquivo ZIP obtido de uma fonte não confiável. Isso pode ser explorado por criminosos para atrair marcas para abrir arquivos ZIP e executar softwares maliciosos sem tropeçar nas proteções de segurança esperadas. O bug foi destacado meses antes por Will Dormann, analista sênior de vulnerabilidades da Analygence.
A Microsoft ainda não corrigiu esse descuido. O observador de TI Kevin Beaumont em 10 de outubro disse que o bug estava sendo explorado Na natureza. A Acros lançou um micropatch cerca de uma semana depois que pode ser aplicado para fechar esse buraco enquanto você espera Redmond recuperar o atraso.
Agora Acros emitiu outro remendo que aborda uma falha de segurança relacionada ao MotW no Windows que a Microsoft ainda não corrigiu.
O que há de novo?
Poucos dias antes do lançamento do primeiro patch, o HP Wolf Security compartilhou um relatório sobre uma série de infecções de ransomware em setembro, cada uma iniciada com um download da web. As vítimas foram instruídas a buscar um arquivo ZIP que continha um arquivo JavaScript disfarçado de antivírus ou atualização de software do Windows.
O script, quando executado, realmente implantou o Magniber, uma variedade de ransomware destinada a usuários domésticos do Windows. Ele embaralha documentos e pode extorquir até US$ 2.500 das vítimas para restaurar seus dados, de acordo com a Wolf Security.
“Mesmo que o Magniber não se enquadre na categoria de Big Game Hunting, ele ainda pode causar danos significativos”, escreveu a equipe Wolf em seu relatório, onde Big Game Hunting se refere a bandidos infectando especificamente grandes e ricas empresas na esperança de um grande pagamento. . “Usuários domésticos foram o alvo provável desse malware com base nas versões de sistema operacional suportadas e no desvio do UAC”.
Fundamentalmente, o analista de malware da HP Patrick Schlapfer notado que o JavaScript malicioso no arquivo ZIP Magniber fez carregam a bandeira MotW, mas ainda executados sem um Tela inteligente alerta aparecendo para interromper a ação solicitada ou avisar o usuário para não prosseguir, como seria de esperar de um arquivo obtido pela Internet. Mitja Kolsek, CEO da Acros, confirmou que o SmartScreen estava sendo ignorado pelo script Magniber.
O SmartScreen da Microsoft deve, entre outras coisas, bloquear arquivos maliciosos óbvios ou alertar os usuários se um arquivo parecer suspeito, mas o conteúdo do arquivo ZIP Magniber foi capaz de contornar totalmente esse processo. Ou seja: há um bug no Windows que foi explorado para que o sinalizador MotW não seja aplicado a arquivos originados da Internet e agora há exploração de uma vulnerabilidade relacionada na qual o MotW está definido, mas não tem efeito.
“Lembre-se de que no Windows 10 e no Windows 11, abrir qualquer arquivo potencialmente nocivo aciona uma inspeção SmartScreen desse arquivo, em que o SmartScreen determina se o arquivo está pronto para ser iniciado ou se o usuário deve ser avisado sobre isso”, disse Kolsek.
E acontece que o arquivo de script no Magniber ZIP ignora o SmartScreen devido a uma assinatura digital Authenticode quebrada. Essa assinatura confunde o Windows para que o script seja executado mesmo que seu sinalizador MotW esteja definido.
Dormann da Analygence tuitou em 18 de outubro em resposta a Schlapfer que “se o arquivo tiver essa assinatura Authenticode malformada, a caixa de diálogo de aviso SmartScreen e/ou abertura de arquivo será ignorada independentemente do conteúdo do script, como se não houvesse MotW no arquivo”.
O Authenticode da Microsoft é uma tecnologia de assinatura de código digital que identifica o editor e verifica se o software não foi adulterado após ser assinado e lançado. Dormann descobriu que a assinatura do arquivo de script estava malformada a ponto de o Windows “não conseguir analisá-los adequadamente. Isso, por algum motivo peculiar, levou o Windows a confiar neles – e permitir que executáveis maliciosos fossem executados sem aviso”, escreveu Koslek.
Uma inspeção adicional da Acros Security constatou que a falha ocorreu porque o SmartScreen, ao tentar analisar a assinatura malformada, retornou um erro, o que levou o sistema operacional a executar o programa e infectar a máquina sem acionar um aviso.
O micropatch mais recente da Acros, lançado em 28 de outubro, funciona para o Windows 11 versão 21H2, oito versões do Windows 10, incluindo 21H1 e 21H2, e Windows Server versões 2019 e 2022.
Um porta-voz da Microsoft nos disse sobre esta vulnerabilidade mais recente: “Estamos cientes da técnica e estamos investigando para determinar as etapas apropriadas para resolver o problema”. ®
.
