Очередная уязвимость нулевого дня в популярной платформе Windows 10 дает возможность специально подготовленным JavaScript-файлам обходить защитные инструменты ОС. Специалисты уже зафиксировали попытки злоумышленников использовать данную особенность для совершения внешних атак.
Один из таких механизмов – Mark-of-the-Web, предназначен для активации определенных ограничений для файлов, полученных из интернета. Такие файлы считаются ненадежными и сопровождаются специальным маркером. Приложение, которое открывает такой файл, запускает соответствующие защитные механизмы – оповещение пользователя, запуск в изолированной среде и т.п. К примеру, Microsoft Office по умолчанию запускает такие документы в режиме Protected View, при котором заблокированы все макросы.
Маркер MoTW назначается в виде специального альтернативного потока данных Zone.Identifier. Отобразить его содержимое можно через консоль (инструкция dir /r), а также открыть в обычном блокноте. Можно увидеть URL источника, а также дополнительный идентификатор «зоны безопасности» – Всемирная сеть маркируется цифрой 3.
Такая система используется уже давно и хорошо себя зарекомендовала. Однако недавно специалисты HP сообщили об увеличении числа заражений шифровальщиком Magniber. Для атак использовались вредоносные файлы JavaScript, которые рассылались в виде в виде почтовых вложений или через другие популярные платформы.
Особенность таких файлов заключается в наличии цифровой подписи, которая содержит блок в нестандартной кодировке base64. Такая подпись по неизвестным пока причинам позволяет файлам запускаться в обычном режиме, хотя метка MoTW добавляется. Какие либо ограничения или уведомления отсутствуют.
Специалисты протестировали такие ключи на собственных файлах, а также создали рабочий эксплойт, который наглядно демонстрировал возможность эксплуатации уязвимости.
Есть предположения, что ошибка впервые появилась в ОС Windows 10, поскольку в версии 8.1 такие файлы обрабатываются корректно. В Windows 10 модуль SmartScreen связывает уведомления MoTW с подписями Authenticode. Однако оказалось, что злоумышленники имеют возможность редактировать содержимое подписи Authenticode, что и позволяет обмануть алгоритм защиты. Данная схема также была продемонстрирована специалистами.
Информация уже передана специалистам Microsoft, результаты расследования пока не опубликованы.