Поделиться
Защита Windows не реагирует на особые JavaScript-файлы. Хакеры в курсе, Microsoft — нет
Странный баг позволяет запускать сомнительные JavaScript-файлы со
специально искаженной цифровой подписью без какой-либо реакции со стороны
системы безопасности Windows.
Знак Сети
Новая уязвимость нулевого дня в Windows позволяет вредоносным файлам JavaScript обходить некоторые защитные механизмы операционной системы. Киберзлоумышленники уже пытаются использовать этот ба» для загрузки шифровальщиков.
Речь идет в первую очередь о механизме, известном как Mark-of-the-Web. Это функция, помогающая защищать устройства пользователей от вредоносных файлов, загруженных из Сети. Система автоматически ставит специальную маркировку на все документы и файлы, попадающие на компьютер. Программы открывают помеченные MoTW-файлы с рядом ограничений, нередко — в защищенных средах. Например, Microsoft Office позволит открыть помеченные таким образом документы только в защищенном режиме (Protected View), в котором все макросы отключены по умолчанию.
Отметка MoTW назначается как специальный альтернативный поток данных Zone.Identifier, который можно увидеть через консоль Windows по команде dir /r и открыть прямо в блокноте (Notepad).
Пользователю выводится URL хоста исходного файла, а также идентификатор т. н. «зоны безопасности», где 3 соответствует Всемирной сети.
При попытке открыть файл, помеченный MoTW, Windows выводит предупреждение, что к файлу следует относиться с осторожностью, и что в теории он может нанести вред компьютеру.
Между тем, эксперты по безопасности HP недавно обнаружили, что злоумышленники заражают различные системы шифровальщиком Magniber, используя как раз файлы JavaScript, которые распространяются в качестве почтовых вложений или отдельных файлов, которые могут запускаться вне веб-браузера.
Подпись неразборчива
Эти вредоносные файлы оказались снабжены цифровой подписью со встроенным блоком в кодировке base64.
Эксперт по информационной безопасности Уилл Дорманн (Will Dormann), сотрудник компаний Analygence, обнаружил, что злоумышленники использовали для подписания файлов некорректно сформированный ключ.
Именно наличие такой некорректной подписи почему-то позволяет обходить ограничения операционной системы и, несмотря на то, что JS-файлы получили отметку MoTW, они все равно запускались автоматически, устанавливая при этом шифровальщик Magniber. Никаких предупреждений от системы безопасности при этом не выводилось.
Дорманн дополнительно протестировал использование некорректно сформированных цифровых подписей и написал экспериментальный эксплойт, который также позволил запускать непроверенные файлы, не вызывая реакции со стороны системы безопасности Windows.
Дорманн предположил, что эта уязвимость возникла вместе с Windows 10. В Windows 8.1 предупреждения появляются. В Windows 10 защитная функция SmartScreen связывает MoTW-предупреждения с подписями Authenticode. Но при этом, как выяснилось, хакеры могут изменить содержание подписи любого файла, снабженного подписью Authenticode, и обеспечить тем самым обход MoTW-предупреждений. Дорманн продемонстрировал, как это делается.
SmartScreen не станет проверять достоверность испорченной подписи, и ОС позволяет запуск такого файла, хотя ничего подобного происходить не должно.
В Microsoft заявили, что пока не смогли подтвердить проблему, но продолжают ее расследовать.
«Если проверочный механизм действительно работает (вернее, не работает) именно так, то речь идет об упущении на грани прямой халатности, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Странно, что проблему заметили только сейчас, когда Windows 10 уже мало-помалу становится уходящей натурой. В Windows 11, кстати, этот баг тоже присутствует, но не столь явно проявляется. Остается надеяться, что Microsoft вскоре его подтвердит и устранит».
Короткая ссылка
