Un nuevo dÃa cero de permite a los actores de amenazas usar archivos maliciosos para eludir las advertencias de seguridad de Mark-of-the-Web.
Los actores de amenazas ya se ven usando el error de dÃa cero en los ataques de ransomware.
Windows incluye una función de seguridad llamada Mark-of-the-Web (MoTW) que marca un archivo como descargado de y, por lo tanto, debe tratarse con precaución ya que podrÃa ser malicioso.
La bandera MoTW se agrega a un archivo descargado o adjunto de correo electrónico como un Flujo de datos alternativo especial llamado 'Zone.
Identifier', que se puede ver usando el comando 'dir /R' y se abre directamente en el Bloc de notas, como se muestra a continuación.
Este flujo de datos alternativo 'Zone.
Identifier' incluye de qué zona de seguridad URL proviene el archivo (tres equivale a Internet), la referencia y la URL del archivo.
Cuando un usuario intenta abrir un archivo con la marca Mark-of-the-Web, Windows mostrará una advertencia de que el archivo debe tratarse con precaución.
"Si bien los archivos de Internet pueden ser útiles, este tipo de archivo puede dañar potencialmente su computadora.
Si no confÃa en la fuente, no abra este software", se lee en la advertencia de Windows.
Microsoft Office también utiliza el indicador MoTW para determinar si el archivo debe abrirse en Vista protegida, lo que hace que se deshabiliten las macros.
El equipo de inteligencia de amenazas de HP informó recientemente que los actores de amenazas están infectando dispositivos con ransomware Magniber utilizando archivos JavaScript como ocurrió enSin embargo, estos archivos JavaScript se firmaron digitalmente mediante un bloque de firma codificado en base64 incorporado, como se describe en este artÃculo de soporte de Microsoft.
Después de ser analizado por Will Dormann, analista senior de vulnerabilidades de ANALYGENCE, descubrió que los atacantes firmaron estos archivos con una clave mal formada.
Cuando se firmó de esta manera, aunque el archivo JS se descargó de Internet y recibió una marca de MoTW, Microsoft no mostrarÃa la advertencia de seguridad y el script se ejecutarÃa automáticamente para instalar el ransomware Magniber.
Dormann probó aún más el uso de esta firma mal formada en archivos JavaScript y pudo crear archivos JavaScript de prueba de concepto que pasarÃan por alto la advertencia de MoTW.
Ambos archivos JavaScript (.
JS) se compartieron con BleepingComputer y, como puede ver a continuación, ambos recibieron una Marca de la Web, como lo indican los cuadros rojos, cuando se descargaron de un sitio web.
La diferencia entre los dos archivos es que uno está firmado con la misma clave mal formada de los archivos de Magniber y el otro no contiene ninguna firma.
Cuando se abre el archivo sin firmar en Windows 10, se muestra correctamente una advertencia de seguridad de MoTW.
Sin embargo, al hacer doble clic en 'calc-othersig.
js', que está firmado con una clave mal formada, Windows no muestra una advertencia de seguridad y simplemente ejecuta el código JavaSript.
Con esta técnica, los actores de amenazas pueden eludir las advertencias de seguridad normales que se muestran al abrir archivos JS descargados y ejecutar automáticamente el script.
BleepingComputer pudo reproducir el error en Windows 10.
Sin embargo, para Windows 11, el error solo se activarÃa al ejecutar el archivo JS directamente desde un archivo.
Dormann le dijo a BleepingComputer que cree que este error se introdujo por primera vez con el lanzamiento de Windows 10, ya que un dispositivo con Windows 8.
1 completamente parcheado muestra la advertencia de seguridad de MoTW como se esperaba.
Según Dormann, el error proviene de la nueva función SmartScreen 'Comprobar aplicaciones y archivos' de Windows 10 en Seguridad de Windows> Control de aplicaciones y navegadores> Configuración de protección basada en la reputación.
"Este problema se encuentra en la nueva función SmartScreen de Win10.
Y al deshabilitar "Comprobar aplicaciones y archivos", Windows vuelve al comportamiento heredado, donde las indicaciones de MotW no están relacionadas con las firmas de Authenticode", dijo Dormann a BleepingComputer.
"Desafortunadamente, toda esa configuración es actualmente una compensación.
Por un lado, escanea los malos que se descargan".
"Por otro lado, los malos que se aprovechan de este error pueden obtener un comportamiento MENOS SEGURO de Windows en comparación con cuando la función está deshabilitada".
La vulnerabilidad de dÃa cero es particularmente preocupante, ya que sabemos que los actores de amenazas la están explotando activamente en ataques de ransomware.
Dormann compartió la prueba de concepto con Microsoft, quien dijo que no podÃan reproducir la omisión de advertencia de seguridad de MoTW.
Sin embargo, Microsoft le dijo a BleepingComputer que están al tanto del problema informado y lo están investigando.
SÃguenos en Facebook y entérate de las noticias trend de la semana
No hay comentarios.:
Publicar un comentario