Windows网络标记的0day漏洞仍未修复,正在被利用

一位发现这些漏洞的前CERT CC研究员说,微软存在两个漏洞,它们可以让网络攻击者绕开Windows原生的网络下载安全。
Windows网络标记的0day漏洞仍未修复,正在被利用

Windows有两个版本分别存在两个漏洞,它们可以让攻击者绕过微软的网络标记(MoTW)安全机制,将恶意附件和文件偷偷传入。

这两个漏洞都在被攻击者积极利用,这是前CERT/CC软件漏洞分析师Will Dormann发现并透露的。他曾在卡内基梅隆大学工作,并在他的事业中揭露了众多零日漏洞。他说,微软还没有针对这两个漏洞发布任何补丁,而且组织也没有可行的方法来防范它们。

不受信任文件的网络标记保护

Windows有一个功能,它可以让用户避免不可信来源的文件带来的危害。这个功能叫做网络标记(MoTW),它是Windows给从网络上下载下来的文件加上的一个看不见的标签。有了MoTW标签的文件在执行和操作上会受到限制。比如说,从MS Office 10开始,MoTW标签的文件会自动以受保护视图打开,而且可执行文件要先经过Windows Defender的安全审查才能运行。

“Windows有很多安全功能——像Microsoft Office受保护视图、SmartScreen、Smart App Control、警告对话框——都要靠MoTW标签才能发挥作用。”Analygence的高级漏洞分析师Dormann在接受《黑暗阅读》采访时说。

Bug1:MotW .ZIP绕过,使用非官方补丁

Windows有两个漏洞,它们可以让攻击者不受网络标记(MoTW)这个安全机制的限制,将有害的附件和文件传到系统里。网络标记是Windows给从网络上下载下来的文件加上的一个看不见的标签,它可以控制文件的操作和执行。

第一个漏洞是7月7日被前CERT/CC软件漏洞分析师Will Dormann发现并告诉微软的。他说,Windows在解压一些特殊制作的.ZIP文件时,没有给里面的文件加上网络标记。

“一个.ZIP文件里面的任何文件都可以被设置成这样,解压出来后就没有网络标记了。”Dormann说,“这样一来,攻击者就可以让一个文件看起来不是从网络上下载的。”他说,这样就更容易让用户在自己的系统上运行任意代码。

Dormann说,他不能告诉我们这个漏洞的细节,因为那样就会暴露攻击者怎么利用这个漏洞。但他说,从XP开始的所有版本的Windows都有这个漏洞。他说,他可能没有收到微软的回复,是因为他是通过CERT的VINCE平台报告给微软的,而微软不用这个平台。

“我从7月底就离开了CERT,所以我不知道微软从7月以后有没有试着联系CERT。”他提醒说。

Dormann说,还有其他安全研究人员也看到了攻击者在利用这个漏洞。其中一个是安全研究员Kevin Beaumont,他以前在微软做过威胁情报分析师。在本月初的一些推文中,Beaumont说这个漏洞正在被野外利用。

“这是我见过的最愚蠢的零日漏洞。”Beaumont说。

在第二天另外发了一条推文,Beaumont说他想发布一些检测这个问题的指导,但又担心会引起连锁反应。

“如果Emotet/Qakbot等发现了它,他们肯定会大规模地利用它。”他警告说。

微软的一位女发言人在邮件中说,该公司“知道这种技术,并正在调查确定解决问题的适当步骤。”声明没有说明微软正在调查或可能计划解决哪一个与MoTW相关的问题。与此同时,在斯洛文尼亚的安全公司Acros Security上周通过0patch补丁平台发布了针对第一个漏洞的非官方补丁。

在接受《黑暗阅读》采访时,0patch和Acros Security的首席执行官兼联合创始人Mitja Kolsek说,他能够确认Dormann在7月份向微软报告的

Bug2:通过损坏的Authenticode签名成功绕过MotW

Windows有另一个漏洞,它可以让攻击者不受网络标记(MoTW)这个安全机制的限制,将有害的附件和文件传到系统里。这个漏洞跟Authenticode数字签名有关。Authenticode是微软的一种代码签名技术,它可以确认一个软件的发布者是谁,以及软件在发布后有没有被改过。

Dormann说,他发现如果一个文件有一个错误的Authenticode签名,Windows就会认为它没有网络标记;这个漏洞会让Windows在运行一个JavaScript文件之前不会弹出SmartScreen和其他警告对话框。

“当Windows处理Authenticode数据出错时,它似乎会‘失败开放’。”Dormann说,“它不再给带有Authenticode签名的文件加上MoTW保护,虽然它们其实还有MoTW。”

Dormann说,从10开始的所有版本的Windows都有这个问题,包括Windows Server 2016的服务器版本。这个漏洞让攻击者可以给任何可以用Authenticode签名的文件加上错误的签名——比如.exe文件和JavaScript文件——并绕过MoTW保护。

Dormann说,他是在看HP威胁研究本月初发布的一篇博客时,知道了这个问题。这篇博客讲了Magniber勒索软件活动,它利用了这个漏洞。

现在还不知道微软有没有采取行动,但研究人员仍在提高警惕。“我没有收到微软的正式回复,但我也没有正式向微软报告这个问题,因为我已经不在CERT工作了。”Dormann说,“我是在Twitter上公开说的,因为这个漏洞已经被野外的攻击者利用了。”

推荐阅读:

许多人组织使用网络应用防火墙来掩盖缺陷

暗网交易市场:一个隐藏在网络阴暗角落的黑色市场

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20