Aparece una solución no oficial para el error de Windows explotado en la naturaleza • The Register

Aparece una solución no oficial para el error de Windows explotado en la naturaleza • The Register

Una empresa de ciberseguridad ha lanzado otro parche no oficial para eliminar un error en Windows que Microsoft aún no ha solucionado, y este agujero se está explotando activamente para propagar ransomware.

Rebobine hasta el 17 de octubre y Acros Security lanzó un pequeño parche binario para corregir una falla en la función Mark-of-the-Web (MotW) de Microsoft. Esta función debería establecer una marca en los metadatos para los archivos obtenidos de Internet, memorias USB y otras fuentes no confiables. Esta marca garantiza que cuando se abren esos archivos, se activan protecciones de seguridad adicionales, como que Office bloquee la ejecución de macros o que el sistema operativo verifique que el usuario realmente quiere ejecutar el .exe.

Resulta que es posible eludir esta función y descargar archivos de la web que no llevan la bandera MotW, eludiendo así todas esas protecciones cuando se abren. Específicamente, un atacante podría evitar que Windows configure el indicador MotW en archivos extraídos de un archivo ZIP obtenido de una fuente no confiable. Esto puede ser aprovechado por actores maliciosos para engañar a los puntajes para que abran archivos ZIP y ejecuten software malicioso en su interior sin pasar por alto las protecciones de seguridad esperadas. Error resaltado Hace meses por Will Dormann, analista senior de vulnerabilidades en Analygence.

Microsoft aún tiene que corregir este descuido. El observador de TI Kevin Beaumont dijo el 10 de octubre que el error estaba ocurriendo explotado en el campo Acros lanzó un microparche una semana después que se puede aplicar para cerrar este agujero mientras espera que Redmond se ponga al día.

Hoy, Acros ha lanzado otro parche que soluciona un agujero de seguridad relacionado con MotW en Windows que Microsoft aún no ha parcheado.

¿Qué hay de nuevo?

Apenas unos días antes del lanzamiento del primer parche, HP Wolf Security compartió un informe sobre una serie de infecciones de ransomware en septiembre, cada una de las cuales comenzó con una descarga web. Se les dice a las víctimas que descarguen un archivo ZIP que contiene un archivo JavaScript disfrazado de antivirus o actualización de software de Windows.

El script, cuando se ejecuta, en realidad implementa Magniber, una variedad de ransomware dirigida a los usuarios domésticos de Windows. Busca documentos y puede extorsionar a las víctimas con hasta $2500 para recuperar sus datos, según Wolf Security.

“Aunque Magniber no entra en la categoría de Big Game Hunting, aún puede causar un daño significativo”, escribió el equipo de Wolf en su informe, donde Big Game Hunting se refiere a trampas que infectan específicamente a empresas grandes y ricas con la esperanza de un gran día de pago. . “Los usuarios domésticos son los objetivos probables de este malware según las versiones compatibles del sistema operativo y la omisión de UAC”.

Sobre todo, el analista de malware de HP Patrick Schlapfer mencionado cuál es el JavaScript malicioso en el archivo ZIP de Magniber hecha lleva la bandera MotW pero aún se ejecuta sin que aparezca una alerta de SmartScreen para detener la acción solicitada o advertir al usuario que no continúe, como se esperaría de un archivo que se recupera de Internet. Mitja Kolsek, CEO de Acros, confirmó que el script de Magniber pasa por alto SmartScreen.

SmartScreen de Microsoft debería, entre otras cosas, bloquear archivos obviamente maliciosos o advertir a los usuarios si un archivo parece sospechoso, pero el contenido del archivo ZIP de Magniber pudo eludir ese proceso por completo. Significado: hubo un error en Windows que se aprovechó para que el indicador MotW no se aplicara a los archivos fuente de Internet, y ahora hay un exploit en una vulnerabilidad relacionada donde MotW está configurado pero no tiene efecto.

“Tenga en cuenta que en Windows 10 y Windows 11, abrir cualquier archivo potencialmente dañino desencadena una inspección de SmartScreen de dicho archivo, donde SmartScreen determina si el archivo se puede iniciar claramente o si se debe advertir al usuario al respecto”, dijo Kolsek.

Y parece que el archivo de secuencia de comandos en Magniber ZIP pasa por alto SmartScreen debido a una firma digital de Authenticode rota. Windows confunde esta firma, por lo que la secuencia de comandos puede ejecutarse incluso si su bandera MotW está configurada.

Dormann de análisis tuiteó el 18 de octubre en respuesta a Schlapfer que “si el archivo tiene esta firma de Authenticode mal formada, la pantalla inteligente y/o el cuadro de diálogo de advertencia de apertura de archivo se omitirán independientemente del contenido del script, como si no hubiera MotW en el archivo”.

Authenticode de Microsoft es una tecnología de firma de código digital que identifica al editor y verifica que el software no haya sido manipulado después de la firma y el lanzamiento. Dormann descubrió que la firma del archivo de script era incorrecta hasta el punto de que Windows “ni siquiera podía analizarlos correctamente. Esto, por alguna extraña razón, hizo que Windows confiara en ellos y permitiera que los ejecutables maliciosos se ejecutaran sin previo aviso”, escribió Koslek.

Una inspección posterior realizada por Acros Security descubrió que la falla ocurrió porque SmartScreen, al intentar analizar la firma mal formada, devolvió un error, lo que llevó al sistema operativo a ejecutar el programa e infectar la máquina sin activar una advertencia.

El último microparche de Acros, lanzado el 28 de octubre, funciona para Windows 11 versión 21H2, ocho versiones de Windows 10, incluidas 21H1 y 21H2, y Windows Server versiones 2019 y 2022, según nos dijeron.

Un portavoz de Microsoft nos comentó sobre esta última vulnerabilidad: “Conocemos el procedimiento y estamos investigando para determinar los pasos apropiados para abordar el problema”. ®

Leave a Reply

Your email address will not be published. Required fields are marked *