Ένα νέο Windows zero-day επιτρέπει στους παράγοντες απειλών να χρησιμοποιούν κακόβουλα αυτόνομα αρχεία JavaScript για να παρακάμψουν τις προειδοποιήσεις ασφαλείας Mark-of-the-Web.
Δείτε επίσης: Ένα zero-day στο Windows Mark of the Web αποκτά ανεπίσημη ενημέρωση
Τα Windows περιλαμβάνουν μια δυνατότητα ασφαλείας που ονομάζεται Mark-of-the-Web (MoTW), που επισημαίνει ότι ένα αρχείο έχει ληφθεί από το Διαδίκτυο και ως εκ τούτου, θα πρέπει να αντιμετωπίζεται με προσοχή καθώς θα μπορούσε να είναι κακόβουλο.
Το MoTW προστίθεται σε ένα αρχείο ή συνημμένο email που έχετε λάβει, ως ειδική εναλλακτική ροή δεδομένων που ονομάζεται “Zone.Identifier“, η οποία μπορεί να προβληθεί χρησιμοποιώντας την εντολή “dir /R” και να ανοίξει απευθείας στο Σημειωματάριο.
Αυτή η εναλλακτική ροή δεδομένων “Zone.Identifier” περιλαμβάνει τη ζώνη ασφαλείας URL από την οποία προέρχεται το αρχείο, τον σύνδεσμο παραπομπής και τη διεύθυνση URL στο αρχείο.
Όταν ένας χρήστης επιχειρεί να ανοίξει ένα αρχείο που έχει επισημανθεί από το Mark-of-the-Web, τα Windows θα εμφανίσουν μια προειδοποίηση ότι το αρχείο πρέπει να αντιμετωπίζεται με προσοχή.
Το Microsoft Office χρησιμοποιεί επίσης το MoTW για να προσδιορίσει εάν το αρχείο πρέπει να ανοίξει σε Προστατευμένη προβολή, με αποτέλεσμα την απενεργοποίηση των μακροεντολών.
Η ομάδα πληροφοριών απειλών της HP ανέφερε πρόσφατα ένα zero-day, που επιτρέπει στους παράγοντες απειλών να μολύνουν συσκευές με ransomware Magniber χρησιμοποιώντας αρχεία JavaScript.
Δείτε ακόμα: 900 servers παραβιάστηκαν με τη χρήση μιας ευπάθειας zero-day Zimbra
Δεν πρόκειται για αρχεία JavaScript που χρησιμοποιούνται συνήθως σε όλους σχεδόν τους ιστότοπους, αλλά για αρχεία .JS που διανέμονται από παράγοντες απειλών ως συνημμένα ή λήψεις που μπορούν να εκτελεστούν εκτός ενός προγράμματος περιήγησης ιστού.
Τα αρχεία JavaScript που διανέμονται από τους παράγοντες απειλών Magniber, υπογράφονται ψηφιακά χρησιμοποιώντας ένα ενσωματωμένο μπλοκ υπογραφής με κωδικοποίηση base64, σύμφωνα με τη Microsoft.
Αφού το zero-day αναλύθηκε από τον Will Dormann, έναν ανώτερο αναλυτή ευπάθειας στο ANALYGENCE, ανακάλυψε ότι οι εισβολείς υπέγραψαν αυτά τα αρχεία με ένα κλειδί με κακή μορφή.
Όταν ήταν υπογεγραμμένο με αυτόν τον τρόπο, παρόλο που το αρχείο JS είχε ληφθεί από το Διαδίκτυο και έλαβε επισήμανση από το MoTW, η Microsoft δεν εμφανίζει προειδοποίηση ασφαλείας και το σενάριο εκτελείται αυτόματα για να εγκαταστήσει το Magniber ransomware.
Χρησιμοποιώντας αυτήν την τεχνική, οι φορείς απειλών μπορούν να παρακάμψουν τις κανονικές προειδοποιήσεις ασφαλείας που εμφανίζονται κατά το άνοιγμα των ληφθέντων αρχείων JS και να εκτελέσουν αυτόματα το σενάριο.
Ο Dormann είπε ότι οι φορείς απειλών θα μπορούσαν να τροποποιήσουν οποιοδήποτε αρχείο με υπογραφή Authenticode, συμπεριλαμβανομένων των εκτελέσιμων αρχείων (.EXE), για να παρακάμψουν τις προειδοποιήσεις ασφαλείας του MoTW.
Δείτε επίσης: Microsoft Exchange: Ο μετριασμός zero-day μπορεί να παρακαμφθεί
Για να γίνει αυτό, ο Dormann λέει ότι ένα υπογεγραμμένο εκτελέσιμο αρχείο μπορεί να τροποποιηθεί χρησιμοποιώντας έναν επεξεργαστή hex, για να αλλάξει μερικά από τα byte στο τμήμα υπογραφής του αρχείου και έτσι να καταστρέψει την υπογραφή.
Μόλις καταστραφεί η υπογραφή, τα Windows δεν θα ελέγξουν το αρχείο χρησιμοποιώντας το SmartScreen, σαν να μην υπήρχε επισήμανση MoTW και θα του επιτρέψουν να εκτελεστεί.
