Un correctif non officiel a été mis à disposition pour une faille de sécurité activement exploitée dans Microsoft Windows qui permet aux fichiers signés avec des signatures malformées de se faufiler au-delà de Mark-of-the-Web (MotW) protections.
Le correctif, publié par 0patch, arrive des semaines après que HP Wolf Security a divulgué une campagne de ransomware Magniber qui cible les utilisateurs avec de fausses mises à jour de sécurité qui utilisent un fichier JavaScript pour faire proliférer le malware de cryptage de fichiers.
Alors que les fichiers téléchargés depuis Internet sous Windows sont marqués d’un indicateur MotW pour empêcher les actions non autorisées, il a depuis été découvert que des signatures Authenticode corrompues peuvent être utilisées pour permettre l’exécution d’exécutables arbitraires sans aucun Avertissement SmartScreen.
Code d’authentification est une technologie de signature de code de Microsoft qui authentifie l’identité de l’éditeur d’un logiciel particulier et vérifie si le logiciel a été falsifié après sa signature et sa publication.
« La [JavaScript] contient en fait le MotW mais s’exécute toujours sans avertissement lorsqu’il est ouvert », a noté Patrick Schläpfer, chercheur chez HP Wolf Security.
 |
| Source : Twitter de Will Dormann |
« Si le fichier contient cette signature Authenticode mal formée, la boîte de dialogue d’avertissement SmartScreen et/ou d’ouverture de fichier sera ignorée », a déclaré Will Dormann, chercheur en sécurité. expliqué.
Maintenant, selon le co-fondateur de 0patch, Mitja Kolsek, le bogue du jour zéro est le résultat du fait que SmartScreen renvoie une exception lors de l’analyse de la signature malformée, qui est interprétée à tort comme une décision d’exécuter le programme plutôt que de déclencher un avertissement.
Les correctifs pour la faille arrivent également moins de deux semaines après correctifs non officiels ont été expédiés pour une autre faille de contournement MotW zero-day qui a été révélée en juillet et a depuis fait l’objet d’une attaque active, selon un chercheur en sécurité Kévin Beaumont.
La vulnérabilité, découverte par Dormann, concerne la façon dont Windows ne parvient pas à définir l’identifiant MotW sur des fichiers extraits de fichiers .ZIP spécialement conçus.
« Les attaquants préfèrent donc naturellement que leurs fichiers malveillants ne soient pas marqués avec MOTW ; cette vulnérabilité leur permet de créer une archive ZIP telle que les fichiers malveillants extraits ne seront pas marqués », a déclaré Kolsek.