Защита Windows не реагирует на особые файлы JavaScript

Очередная уязвимость нулевого дня в популярной платформе Windows 10 дает возможность специально подготовленным JavaScript-файлам обходить защитные инструменты ОС. Специалисты уже зафиксировали попытки злоумышленников использовать данную особенность для совершения внешних атак.

Один из таких механизмов – Mark-of-the-Web, предназначен для активации определенных ограничений для файлов, полученных из интернета. Такие файлы считаются ненадежными и сопровождаются специальным маркером. Приложение, которое открывает такой файл, запускает соответствующие защитные механизмы – оповещение пользователя, запуск в изолированной среде и т.п. К примеру, Microsoft Office по умолчанию запускает такие документы в режиме Protected View, при котором заблокированы все макросы.

Маркер MoTW назначается в виде специального альтернативного потока данных Zone.Identifier. Отобразить его содержимое можно через консоль (инструкция dir /r), а также открыть в обычном блокноте. Можно увидеть URL источника, а также дополнительный идентификатор «зоны безопасности» – Всемирная сеть маркируется цифрой 3.

Такая система используется уже давно и хорошо себя зарекомендовала. Однако недавно специалисты HP сообщили об увеличении числа заражений шифровальщиком Magniber. Для атак использовались вредоносные файлы JavaScript, которые рассылались в виде в виде почтовых вложений или через другие популярные платформы.

Особенность таких файлов заключается в наличии цифровой подписи, которая содержит блок в нестандартной кодировке base64. Такая подпись по неизвестным пока причинам позволяет файлам запускаться в обычном режиме, хотя метка MoTW добавляется. Какие либо ограничения или уведомления отсутствуют.

Специалисты протестировали такие ключи на собственных файлах, а также создали рабочий эксплойт, который наглядно демонстрировал возможность эксплуатации уязвимости.

Есть предположения, что ошибка впервые появилась в ОС Windows 10, поскольку в версии 8.1 такие файлы обрабатываются корректно. В Windows 10 модуль SmartScreen связывает уведомления MoTW с подписями Authenticode. Однако оказалось, что злоумышленники имеют возможность редактировать содержимое подписи Authenticode, что и позволяет обмануть алгоритм защиты. Данная схема также была продемонстрирована специалистами.

Информация уже передана специалистам Microsoft, результаты расследования пока не опубликованы.





Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: