Một bản vá không chính thức đã được cung cấp cho một lỗ hổng bảo mật được khai thác tích cực trong Microsoft Windows giúp các tệp được ký bằng chữ ký không đúng định dạng có thể vượt qua các biện pháp bảo vệ Mark-of-the-Web (MotW).
Bản sửa lỗi, được phát hành bởi 0patch, đến vài tuần sau khi HP Wolf Securitytiết lộmột chiến dịch ransomware Magniber nhắm mục tiêu đến người dùng với các bản cập nhật bảo mật giả mạo sử dụng tệp JavaScript để phát triển phần mềm độc hại mã hóa tệp.
Mặc dù các tệp được tải xuống từ internet trong Windows được gắn cờ MotW để ngăn chặn các hành động trái phép, nhưng kể từ đó, người ta đã phát hiện ra rằng chữ ký Authenticode bị hỏng có thể được sử dụng để cho phép thực thi các tệp thực thi tùy ý mà không cần bất kỳ cảnh báo SmartScreen nào.
Authenticode là một công nghệ ký mã của Microsoft xác thực danh tính của nhà xuất bản một phần mềm cụ thể và xác minh xem phần mềm đó có bị giả mạo sau khi được ký và xuất bản hay không.
"Tệp [JavaScript] thực sự có MotW nhưng vẫn thực thi mà không có cảnh báo khi mở," nhà nghiên cứu Patrick Schläpfer của HP Wolf Security lưu ý.
"Nếu tệp có chữ ký Authenticode không đúng định dạng này, SmartScreen và / hoặc hộp thoại cảnh báo mở tệp sẽ bị bỏ qua," nhà nghiên cứu bảo mật Will Dormann giải thích.
Bây giờ theo người đồng sáng lập 0patch Mitja Kolsek, lỗi zero-day là kết quả của việc SmartScreen trả về một ngoại lệ khi phân tích chữ ký không đúng định dạng, được hiểu không chính xác là quyết định chạy chương trình thay vì kích hoạt cảnh báo.
Các bản sửa lỗi cho lỗ hổng cũng được đưa ra chưa đầy hai tuần sau khi các bản vá lỗi không chính thức được vận chuyển cho một lỗ hổng bỏ qua MotW zero-day khác được đưa ra ánh sáng vào tháng 7 và kể từ đó đã bị tấn công tích cực, theo nhà nghiên cứu bảo mật Kevin Beaumont.
Lỗ hổng bảo mật, được phát hiện bởi Dormann, liên quan đến cách Windows không đặt mã định danh MotW thành các tệp được trích xuất từ các tệp .ZIP được chế tạo cụ thể.
"Do đó, những kẻ tấn công thích các tệp độc hại của họ không được đánh dấu bằng MOTW; lỗ hổng này cho phép họ tạo một kho lưu trữ ZIP sao cho các tệp độc hại được trích xuất sẽ không bị đánh dấu, "Kolsek nói.