This post is also available in: Português Español
Se ha puesto a disposición un parche no oficial para una vulnerabilidad de día cero que se está explotando activamente en Windows 10 y 11. La falla permite que los archivos firmados con firmas mal formadas eludan las protecciones Mark-of-the-Web (MotW).
La solución, lanzada por 0patch, se produce después de los informes de que una campaña de ransomware Magniber estaba dirigida a los usuarios con actualizaciones de seguridad falsas, que emplean un archivo JavaScript para propagar el malware de cifrado de archivos.
A pesar de que los archivos descargados de Internet en Windows están marcados con un indicador MotW para evitar acciones no autorizadas, se ha descubierto que se pueden usar firmas de Authenticode corruptas para permitir que ejecutables arbitrarios se ejecuten sin advertencias de SmartScreen.
La vulnerabilidad
El investigador de ciberseguridad Will Dormann, identificó la vulnerabilidad en Windows en mayo de este año. Tal vulnerabilidad permite a los ciberdelincuentes evitar que el sistema operativo Windows defina el indicador “Web Mark” ( Mark-of-the-Web, – MOTW) en los archivos extraídos de un archivo ZIP, incluso si se originaron en una fuente no confiable, como Internet, correo electrónico o un dispositivo USB.
No tener sus archivos maliciosos marcados con MOTW (Web Mark) es una gran ventaja para los ciberdelincuentes. Esta es la razón por la cual esta vulnerabilidad es tan valiosa para los actores de amenazas y debe ser reparada.
Aunque Dormann notificó a Microsoft en julio sobre el problema, todavía no hay un parche oficial para solucionar esta vulnerabilidad. Lo que motivó a 0patch a proporcionar un parche no oficial, hasta que Microsoft solucione el problema en cuestión.
Firmas de Authenticode con formato incorrecto
Authenticode es una tecnología de firma de código de Microsoft. La tecnología utiliza técnicas criptográficas para verificar la identidad del editor y la integridad del código, es decir, para evaluar que no haya sido manipulado después de haber sido firmado y publicado.
Según Dormann, si el archivo tiene una firma Authenticode mal formada, Windows permite la ejecución automática del archivo y ya no presenta la advertencia de seguridad señalada por SmartScreem.
OK this is bad. You're on the right track that it's signature-related. But the problem is:
If the file has this malformed Authenticode signature, the SmartScreen and/or file-open warning dialog will be skipped. Regardless of script contents
As if there is no MotW on the file. pic.twitter.com/pdDWDU98UU— Will Dormann (@wdormann) October 18, 2022
El bug de día cero es el resultado de que SmartScreen lanza una excepción al analizar la firma con formato incorrecto, lo que se interpreta incorrectamente como una decisión de ejecutar el programa en lugar de activar una advertencia.
El error de Según Kevin Beaumont, que también es investigador de seguridad, las correcciones para la falla también llegan menos de dos semanas después de que se enviaran parches no oficiales para otra falla de derivación de MotW de día cero, que apareció en julio, y desde entonces ha estado en bajo ataque activo.
This is being exploited in the wild now, mark of the web bypass in Windows. https://t.co/EwTixz4hJj
— Kevin Beaumont (@GossiTheDog) October 11, 2022
Instalando el patch
Como se mencionó anteriormente, 0patch ha decidido lanzar una solución no oficial que se puede usar hasta que Microsoft publique una actualización de seguridad oficial, ya que esta vulnerabilidad de día cero se explota activamente en los ataques de ransomware.
La instalación del parche es simple y gratuita, simplemente registre una cuenta gratuita de 0patch e instale su agente.
Una vez instalados, los parches se aplicarán automáticamente sin necesidad de reiniciar el sistema si no hay políticas de parches personalizadas para bloquearlos.
Fuentes: BleepingComputer, 0patch.
This post is also available in: Português Español
