Μια δωρεάν, ανεπίσημη επιδιόρθωση έχει σχεδιαστεί, για ένα ενεργά εκμεταλλεύσιμο zero-day σε αρχεία που έχουν υπογραφεί με κακοσχηματισμένες υπογραφές ώστε να παρακάμπτουν τις προειδοποιήσεις ασφαλείας Mark-of-the-Web στα Windows 10 και 11.
Δείτε επίσης: Windows zero-day: Αρχεία JavaScript παρακάμπτουν το MoTW
Το προηγούμενο Σαββατοκύριακο, ανακαλύφθηκε ότι εγκληματίες του κυβερνοχώρου χρησιμοποιούσαν μεμονωμένα αρχεία JavaScript για να εγκαταστήσουν το ransomware Magniber στις συσκευές ανυποψίαστων χρηστών.
Η Microsoft προσθέτει μια σημείωση Mark-of-the-Web σε κάθε αρχείο που κατεβαίνει από το Διαδίκτυο, η οποία στη συνέχεια αναγκάζει το λειτουργικό σας σύστημα να εμφανίζει προειδοποιήσεις ασφαλείας όταν προσπαθείτε να ανοίξετε το αρχείο.
Αυτά τα αρχεία Magniber JavaScript ήταν ξεχωριστά λόγω του γεγονότος ότι, παρόλο που περιείχαν ένα Mark-of-a-Web, τα Windows δεν εμφάνιζαν προειδοποιήσεις ασφαλείας κατά την εκκίνηση.
Ο Will Dormann, ανώτερος αναλυτής ευπαθειών στην ANALYGENCE, ανέλυσε τα αρχεία JS και ανακάλυψε ότι ήταν ψηφιακά υπογεγραμμένα με μια κακοσχηματισμένη υπογραφή.
Το Microsoft SmartScreen είναι ένα πρόγραμμα που επισημαίνει και αποκλείει κακόβουλα αρχεία, ωστόσο, εάν το αρχείο έχει κακόβουλη υπογραφή, τα Windows θα του επιτρέψουν να εκτελεστεί χωρίς προειδοποιήσεις ασφαλείας.
Δεδομένου ότι αυτή η ευπάθεια zero-day χρησιμοποιείται ενεργά για τη διάπραξη επιθέσεων ransomware, η υπηρεσία μικροεπιδιορθώσεων 0patch αποφάσισε να κυκλοφορήσει μια ανεπίσημη διόρθωση που μπορεί να χρησιμοποιηθεί μέχρι η Microsoft να κυκλοφορήσει μια επίσημη ενημέρωση ασφαλείας.
Δείτε ακόμα: Η Apple διορθώνει νέα zero-day ευπάθεια σε iPhones και iPad
Η αιτία για αυτό το σφάλμα, όπως εξηγείται από τον Mitja Kolsek σε μια δημοσίευση στο blog της 0patch, είναι η αδυναμία του Windows SmartScreen να διαβάσει ένα αρχείο με κακόβουλη υπογραφή. Εάν το SmartScreen δεν μπορεί να διαβάσει την υπογραφή, τα Windows θα επιτρέψουν την εκτέλεση του προγράμματος, παρόλο που θα έπρεπε να εμφανίσει ένα σφάλμα.
Ο Kolsek εξέδωσε προειδοποίηση ότι αν και η επιδιόρθωση διορθώνει τα περισσότερα σενάρια επιθέσεων, θα μπορούσαν να υπάρξουν καταστάσεις όπου θα παρακάμπτεται.
Η 0patch έχει δημιουργήσει δωρεάν διορθωτικά πακέτα για τις ακόλουθες εκδόσεις των Microsoft Windows μέχρι η Microsoft να κυκλοφορήσει τις δικές της επίσημες ενημερώσεις:
- Windows 11 v21H2
- Windows 10 v21H2
- Windows 10 v21H1
- Windows 10 v20H2
- Windows 10 v2004
- Windows 10 v1909
- Windows 10 v1903
- Windows 10 v1809
- Windows 10 v1803
- Windows Server 2022
- Windows Server 2019
Θα χρειαστεί να εγγραφείτε για έναν δωρεάν λογαριασμό 0patch και να εγκαταστήσετε τον πράκτορά του για να κάνετε micropatch στη Windows συσκευή σας.
Δείτε επίσης: Ένα zero-day στο Windows Mark of the Web αποκτά ανεπίσημη ενημέρωση
Ο πράκτορας χρειάζεται να εγκατασταθεί μόνο μία φορά και οι επιδιορθώσεις θα εφαρμοστούν αυτόματα χωρίς επανεκκίνηση του συστήματος – εφόσον δεν υπάρχουν προσαρμοσμένες πολιτικές επιδιόρθωσης που το εμποδίζουν.
