Ως μέρος της Patch Tuesday του Αυγούστου 2020, η Microsoft διόρθωσε μια ευπάθεια που επέτρεψε τη μετατροπή αρχείων MSI σε κακόβουλα εκτελέσιμα Java διατηρώντας παράλληλα μια νόμιμη ψηφιακή υπογραφή της εταιρείας.
Αυτή η ευπάθεια εντοπίστηκε ως CVE-2020-1464 και περιγράφεται από τη Microsoft ως πλασματική ευπάθεια στον τρόπο με τον οποίο τα Windows επικυρώνουν υπογεγραμμένα αρχεία.
Αργότερα σημειώθηκε σε μια ανάρτηση σε ένα blog από τους ερευνητές ασφαλείας Tal Be’ery, Zengo και Peleg Hadar, της SafeBreach Labs, ότι αυτή η ενημέρωση αφορά ένα σφάλμα που αναφέρθηκε πριν από δύο χρόνια στις 18 Αυγούστου 2018 και ότι η Microsoft δήλωσε αρχικά ότι δεν θα διορθώσει.
Τον Ιανουάριο του 2019, ο Bernardo Quintero της VirusTotal αποκάλυψε πώς ένα κακόβουλο υπογεγραμμένο Java εκτελέσιμο φορτώθηκε και εντοπίστηκε το 2018 από την υπηρεσία VirusTotal Monitor.
Αφού εξέτασε το αρχείο .jar, ο Quintero ανακάλυψε ότι το κακόβουλο λογισμικό ήταν ένα αρχείο MSI με προσαρτημένο σε αυτό ένα αρχείο Java JAR.
Παρόλο που αυτό το αρχείο MSI παραποιήθηκε και μετονομάστηκε σε αρχείο JAR, το πρόβλημα ήταν ότι τα Windows εξακολουθούν να θεωρούν το αρχείο υπογεγραμμένο από έγκυρο πιστοποιητικό από την Google, όπως φαίνεται παρακάτω.
Καθώς ορισμένες λύσεις ασφαλείας χρησιμοποιούν μια ψηφιακή υπογραφή για να προσδιορίσουν εάν πρέπει να επιτρέπεται η εκτέλεση ενός άγνωστου αρχείου, ένας απειλητικός παράγοντας θα μπορούσε να χρησιμοποιήσει αυτήν την τεχνική για να δημιουργήσει Java malware που παρακάμπτει το λογισμικό ασφαλείας.
Αφού ανακάλυψε αυτό το ελάττωμα, ο Quintero το αποκάλυψε στη Microsoft στις 18 Αυγούστου 2018, αλλά του είπαν ότι δεν θα διορθωθεί.
“Αυτός ο φορέας επίθεσης έχει επαληθευτεί στις πιο πρόσφατες και ενημερωμένες εκδόσεις των Windows 10 και Java που είναι διαθέσιμες αυτή τη στιγμή (Windows 10 Version 1809 και Java SE Runtime Environment 8 Update 191). Η Microsoft αποφάσισε ότι δεν θα διορθώσει αυτό το ζήτημα στις τρέχουσες εκδόσεις των Windows και συμφωνήσαμε ότι μπορούμε να δημοσιεύσουμε μια ανάρτηση σχετικά με αυτήν την υπόθεση και τα ευρήματά μας δημοσίως “, εξήγησε ο Quintero στην αποκάλυψή του.
Για να εντοπιστούν αυτοί οι τύποι κακόβουλων αρχείων JAR, τόσο το VirusTotal πρόσθεσε την ανίχνευση για αυτά τα παραβιασμένα αρχεία στην ανάλυσή τους, όσο και το εργαλείο sigcheck του SysInternal ενημερώθηκε επίσης για να τα εντοπίσει.
Με την ενημερωμένη έκδοση κώδικα για το CVE-2020-1464, τα Windows δεν θα θεωρούν πλέον τα αρχεία MSI υπογεγραμμένα εάν έχουν παραβιαστεί με την προσθήκη ενός αρχείου JAR σε αυτό.
Η επιδιόρθωση της Microsoft φαίνεται όταν εξετάζονται οι ιδιότητες ενός κακόβουλου αρχείου JAR που χρησιμοποίησε αυτήν την τεχνική στα Windows 10 1909 (αριστερά) και Windows 10 2004 (δεξιά) παρακάτω.
Στις δοκιμές του BleepingComputer, φαίνεται ότι αυτή η ενημερωμένη έκδοση ασφαλείας αφαιρεί μόνο τις ψηφιακές υπογραφές σε αρχεία MSI που τροποποιούνται από ένα αρχείο JAR.
Εάν προσθέσετε ένα .exe εκτελέσιμο σε ένα υπογεγραμμένο αρχείο MSI, η υπογραφή του MSI θα συνεχίσει να παραμένει έγκυρη, υποδεικνύοντας ότι δεν έχει τροποποιηθεί.
Το 2019, η Chronicle είχε δηλώσει ότι αυτό δεν πρέπει να αποτελεί πρόβλημα, καθώς μόνο αρχεία JAR θα μπορούσαν να εκμεταλλευτούν αυτό το ζήτημα.
Δεν είναι γνωστό γιατί χρειάστηκε δύο χρόνια η Microsoft για να διορθώσει αυτό το ζήτημα και γιατί ο Quintero δεν παρουσιάστηκε ως το άτομο που αποκάλυψε το ελάττωμα.
