Windows

Se ha puesto a disposición un parche no oficial para una falla de seguridad explotada activamente en Microsoft Windows que hace posible que los archivos firmados con firmas mal formadas pasen sigilosamente las protecciones Mark-of-the-Web ( MotW ).

La solución, lanzada por 0patch, llega semanas después de que HP Wolf Security revelara una campaña de ransomware Magniber que se dirige a los usuarios con actualizaciones de seguridad falsas que emplean un archivo JavaScript para propagar el malware de cifrado de archivos.

Si bien los archivos descargados de Internet en Windows están etiquetados con un indicador MotW para evitar acciones no autorizadas, desde entonces se descubrió que las firmas corruptas de Authenticode se pueden usar para permitir la ejecución de ejecutables arbitrarios sin ninguna advertencia de SmartScreen .

Authenticode es una tecnología de firma de código de Microsoft que autentica la identidad del editor de un software en particular y verifica si el software fue manipulado después de que se firmó y publicó.

«El archivo [JavaScript] en realidad tiene el MotW, pero aún se ejecuta sin una advertencia cuando se abre», señaló Patrick Schläpfer, investigador de HP Wolf Security.

«Si el archivo tiene esta firma de Authenticode mal formada, se omitirá el cuadro de diálogo de advertencia de SmartScreen y/o apertura de archivo», explicó el investigador de seguridad Will Dormann .

Ahora, según la cofundadora de 0patch, Mitja Kolsek, el error de día cero es el resultado de que SmartScreen devuelve una excepción al analizar la firma con formato incorrecto, lo que se interpreta incorrectamente como una decisión de ejecutar el programa en lugar de activar una advertencia.

Las correcciones para la falla también llegan menos de dos semanas después de que se enviaran parches no oficiales para otra falla de derivación de MotW de día cero que salió a la luz en julio y desde entonces ha sido atacada activamente, según el investigador de seguridad Kevin Beaumont .

La vulnerabilidad, descubierta por Dormann, se relaciona con la forma en que Windows no establece el identificador MotW en archivos extraídos de archivos .ZIP específicamente diseñados.

«Por lo tanto, los atacantes, comprensiblemente, prefieren que sus archivos maliciosos no estén marcados con MOTW; esta vulnerabilidad les permite crear un archivo ZIP de modo que los archivos maliciosos extraídos no estén marcados», dijo Kolsek.

Fuente y redacción: thehackernews.com

Compartir