This post is also available in: Português Español
Um patch não oficial foi disponibilizado para uma vulnerabilidade de dia zero, que está sendo explorada ativamente no Windows 10 e 11. A falha permite que arquivos assinados com assinaturas malformadas passem pelas proteções Mark-of-the-Web (MotW).
A correção, lançada pela 0patch, chega após informações de que uma campanha do ransomware Magniber estava visando usuários com atualizações de segurança falsas, que empregam um arquivo JavaScript para proliferar o malware de criptografia de arquivos.
Apesar de os arquivos baixados da Internet no Windows serem marcados com um sinalizador MotW para impedir ações não autorizadas, descobriu-se que assinaturas Authenticode corrompidas podem ser usadas para permitir a execução de executáveis arbitrários sem nenhum aviso do SmartScreen.
A vulnerabilidade
O pesquisador de segurança cibernética Will Dormann, identificou a vulnerabilidade no Windows em maio deste ano. Tal vulnerabilidade permite que cibercriminosos impeçam que o sistema operacional Windows defina o sinalizador “Marca da Web” ( Mark-of-the-Web, – MOTW) em arquivos extraídos de um arquivo ZIP, mesmo que eles tenham sido originados de uma fonte não confiável, como internet, e-mail ou um dispositivo USB.
Não ter seus arquivos maliciosos sinalizados com MOTW (Marca da web), é uma grande vantagem para os cibercriminosos. Por isso, esta vulnerabilidade é tão valiosa para os agentes de ameaças e precisa ser corrigida.
Apesar de Dormann ter notificado a Microsoft em julho sobre o problema, ainda não há um patch oficial para correção dessa vulnerabilidade. O que motivou a 0patch a fornecer um patch não oficial, até que a Microsoft solucione o problema em questão.
Assinaturas Authenticode malformadas
O Authenticode é uma tecnologia de assinatura de código da Microsoft. O A tecnologia usa técnicas criptográficas para verificar a identidade do editor e a integridade do código, ou seja, avaliar se ele não foi adulterado depois de assinado e publicado.
Segundo Dormann, se o arquivo tiver uma assinatura Authenticode malformada, o Windows permite execução automática do arquivo, deixando de apresentar o aviso de segurança sinalizado pelo SmartScreem.
OK this is bad. You're on the right track that it's signature-related. But the problem is:
If the file has this malformed Authenticode signature, the SmartScreen and/or file-open warning dialog will be skipped. Regardless of script contents
As if there is no MotW on the file. pic.twitter.com/pdDWDU98UU— Will Dormann (@wdormann) October 18, 2022
O bug de dia zero é resultado do SmartScreen retornar uma exceção ao analisar a assinatura malformada, que é interpretada incorretamente como uma decisão de executar o programa em vez de acionar um aviso.
De acordo com Kevin Beaumont, que também é pesquisador de segurança, as correções para a falha também ocorrem menos de duas semanas após o envio de patches não oficiais para outra falha de desvio do MotW de dia zero, que veio à tona em julho, e desde então está sob ataque ativo.
This is being exploited in the wild now, mark of the web bypass in Windows. https://t.co/EwTixz4hJj
— Kevin Beaumont (@GossiTheDog) October 11, 2022
Instalando o patch
Como citado anteriormente, a 0patch decidiu lançar uma correção não oficial que pode ser usada até que a Microsoft lance uma atualização de segurança oficial, visto que essa vulnerabilidade de dia zero é explorada ativamente em ataques de ransomware.
A instalação do patch é simples e gratuita, basta registrar uma conta gratuita 0patch e instalar seu agente.
Após instalado, os patches serão aplicados automaticamente sem exigir a reinicialização do sistema se não houver políticas de patch personalizadas para bloqueá-lo.
Fontes: BleepingComputer, 0patch.
This post is also available in: Português Español
