Sonntag, Dezember 4, 2022

Eine inoffizielle Lösung für den Windows-Fehler, der missbraucht wurde, um Heim-PCs mit Ransomware zu infizieren, taucht auf

Ein Cybersicherheitsunternehmen hat einen weiteren inoffiziellen Patch veröffentlicht, um einen Fehler in Windows zu beseitigen, den Microsoft noch beheben muss, und nutzt diese Lücke aktiv aus, um Ransomware zu verbreiten.

Spulen wir vor bis zum 17. Oktober und Acros Security hat einen kleinen Binär-Patch veröffentlicht, um einen Fehler in Microsofts Mark-of-the-Web (MotW)-Funktion zu beheben. Diese Funktion soll ein Flag in den Metadaten für Dateien setzen, die aus dem Internet, USB-Sticks und anderen nicht vertrauenswürdigen Quellen stammen. Dieses Flag stellt sicher, dass beim Öffnen dieser Dateien zusätzliche Sicherheitsmaßnahmen ausgelöst werden, z. B. dass Office die Ausführung von Makros blockiert oder das Betriebssystem überprüft, ob der Benutzer diese .exe-Datei wirklich ausführen wollte.

Es stellt sich heraus, dass es möglich ist, diese Funktion zu umgehen und Dateien, die aus dem Internet heruntergeladen wurden, nicht mit dem MotW-Flag zu versehen, wodurch all diese Schutzmaßnahmen beim Öffnen umgangen werden. Insbesondere könnte ein Angreifer verhindern, dass Windows das MotW-Flag auf Dateien setzt, die aus einem ZIP-Archiv extrahiert wurden, das von einer nicht vertrauenswürdigen Quelle stammt. Dies kann von böswilligen Akteuren ausgenutzt werden, um Marken dazu zu verleiten, ZIP-Archive zu öffnen und bösartige Software darin auszuführen, ohne den beabsichtigten Sicherheitsschutz auszulösen. Der Fehler wurde hervorgehoben vor wenigen Monaten von Will Dormann, Senior Vulnerability Analyst bei Analygence.

Microsoft muss dieses Versehen noch korrigieren. IT-Beobachter Kevin Beaumont sagte am 10. Oktober, dass der Fehler noch andauere ausgebeutet in der Wildnis. Acros veröffentlichte etwa eine Woche später einen Mikropatch, der angewendet werden kann, um dieses Loch zu stopfen, während Sie darauf warten, dass Redmond aufholt.

Jetzt hat Acros einen weiteren Patch veröffentlicht, der eine verwandte MotW-Sicherheitslücke in Windows schließt, die Microsoft noch nicht behoben hat.

Nur wenige Tage vor der Veröffentlichung des ersten Patches teilte HP Wolf Security einen Bericht über eine Welle von Ransomware-Infektionen im September mit, die jeweils mit einem Web-Download begannen.Opfern wurde gesagt, sie sollten ein ZIP-Archiv abrufen, das eine als Antivirus oder Windows getarnte JavaScript-Datei enthielt Software-Update.

Wenn das Skript ausgeführt wird, verbreitet es effektiv Magniber, eine Vielzahl von Ransomware, die sich an Windows-Anwender zu Hause richtet. Laut Wolf Security werden Dokumente verschlüsselt und Opfer können bis zu 2.500 US-Dollar erpressen, um ihre Daten wiederherzustellen.

„Selbst wenn Magniber nicht in die Kategorie der Großwildjagd fällt, kann es dennoch erheblichen Schaden anrichten“, schrieb Wolfs Team in seinem Bericht, in dem sich die Großwildjagd auf Kriminelle bezieht, die speziell große, wohlhabende Unternehmen in der Hoffnung auf einen großen Erfolg infizieren Deal Zahltag . „Heimanwender waren das wahrscheinliche Ziel dieser Malware, basierend auf unterstützten Betriebssystemversionen und UAC-Umgehung.“

Im Grunde HP-Malware-Analyst Patrick Schlager bemerkte dass der schädliche JavaScript-Code im Magniber-ZIP-Archiv erledigt trägt das MotW-Flag, läuft aber immer noch, ohne eine SmartScreen-Warnung anzuzeigen, um die angeforderte Aktion abzubrechen oder den Benutzer zu warnen, nicht fortzufahren, wie man es von einem aus dem Internet abgerufenen Archiv erwarten würde. Mitja Kolsek, CEO von Acros, bestätigte, dass SmartScreen von Magnibers Skript umgangen wurde.

Microsofts SmartScreen soll unter anderem offensichtlich schädliche Dateien blockieren oder Benutzer warnen, wenn eine Datei verdächtig aussieht, aber die Inhalte des Magniber-ZIP-Archivs konnten diesen Prozess vollständig umgehen. Nämlich: Es gibt einen Fehler in Windows, der ausgenutzt wurde, damit das MotW-Flag nicht auf Dateien angewendet wird, die aus dem Internet stammen, und jetzt gibt es die Ausnutzung einer verwandten Schwachstelle, bei der MotW gesetzt ist, aber keine Auswirkung hat.

„Denken Sie daran, dass unter Windows 10 und Windows 11 das Öffnen einer potenziell schädlichen Datei eine SmartScreen-Überprüfung dieser Datei auslöst, wobei SmartScreen bestimmt, ob die Datei gestartet werden kann oder ob der Benutzer gewarnt werden sollte“, sagte Kolsek.

Und es stellt sich heraus, dass die Skriptdatei im Magniber-ZIP SmartScreen aufgrund einer defekten digitalen Authenticode-Signatur ignoriert. Diese Signatur verwirrt Windows, sodass das Skript auch dann ausgeführt werden kann, wenn sein MotW-Flag gesetzt ist.

Dormann der Analytik getwittert am 18. Oktober als Antwort auf Schlapfer, dass „wenn die Datei diese schlechte Authenticode-Signatur hat, die SmartScreen-Warnung und/oder der Dialog zum Öffnen der Datei unabhängig vom Skriptinhalt übersprungen wird, als ob es kein MotW in der Datei gäbe.“

Microsoft Authenticode ist eine digitale Code-Signaturtechnologie, die den Herausgeber identifiziert und überprüft, ob die Software nach dem Signieren und Freigeben nicht manipuliert wurde. Dormann fand heraus, dass die Signatur der Skriptdatei so missgestaltet war, dass Windows „sie nicht einmal richtig analysieren konnte. Koslek geschrieben.

Eine weitere Untersuchung durch Acros Security ergab, dass der Fehler auftrat, weil SmartScreen beim Versuch, die fehlerhafte Signatur zu analysieren, einen Fehler zurückgab, der dazu führte, dass das Betriebssystem das Programm ausführte und den Computer infizierte, ohne eine Benachrichtigung zu aktivieren.

Der neueste Mikropatch von Acros, der am 28. Oktober veröffentlicht wurde, funktioniert für Windows 11 Version 21H2, acht Versionen von Windows 10, einschließlich 21H1 und 21H2, und Windows Server-Versionen 2019 und 2022, wurde uns mitgeteilt.

Ein Microsoft-Sprecher teilte uns diese neueste Schwachstelle mit: „Wir sind uns der Technik bewusst und untersuchen, um die geeigneten Schritte zur Behebung des Problems festzulegen.“ ®

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles