Se ha puesto a disposición un parche no oficial para una falla de seguridad explotada activamente en Microsoft Windows que hace posible que los archivos firmados con firmas mal formadas pasen sigilosamente Mark-of-the-Web (MotW) protecciones.
La solución, liberado by 0patch, llega semanas después de que HP Wolf Security revelara una campaña de ransomware Magniber que se dirige a los usuarios con actualizaciones de seguridad falsas que emplean un archivo JavaScript para propagar el malware de cifrado de archivos.
Si bien los archivos descargados de Internet en Windows están etiquetados con un indicador MotW para evitar acciones no autorizadas, desde entonces se descubrió que se pueden usar firmas de Authenticode corruptas para permitir la ejecución de ejecutables arbitrarios sin ningún tipo de autorización. Advertencia de pantalla inteligente.
código de autenticación es una tecnología de firma de código de Microsoft que autentica la identidad del editor de un software en particular y verifica si el software fue manipulado después de que se firmó y publicó.
«Los [JavaScript] El archivo en realidad tiene el MotW, pero aún se ejecuta sin una advertencia cuando se abre», señaló Patrick Schläpfer, investigador de HP Wolf Security.
 |
| Fuente: Twitter de Will Dormann |
«Si el archivo tiene esta firma de Authenticode mal formada, se omitirá el cuadro de diálogo de advertencia de SmartScreen y/o apertura de archivo», dijo el investigador de seguridad Will Dormann. explicado.
Ahora, según la cofundadora de 0patch, Mitja Kolsek, el error de día cero es el resultado de que SmartScreen devuelve una excepción al analizar la firma con formato incorrecto, lo que se interpreta incorrectamente como una decisión de ejecutar el programa en lugar de activar una advertencia.
Las correcciones para la falla también llegan menos de dos semanas después parches no oficiales se enviaron para otra falla de derivación de MotW de día cero que salió a la luz en julio y desde entonces ha sido objeto de un ataque activo, según un investigador de seguridad kevin beaumont.
La vulnerabilidad, descubierta por Dormann, se relaciona con la forma en que Windows no establece el identificador MotW en archivos extraídos de archivos .ZIP específicamente diseñados.
«Por lo tanto, los atacantes, comprensiblemente, prefieren que sus archivos maliciosos no estén marcados con MOTW; esta vulnerabilidad les permite crear un archivo ZIP de modo que los archivos maliciosos extraídos no estén marcados», dijo Kolsek.