Uwaga na nowe wydanie od Microsoftu – powoduje kłopoty z Kerberosem!

Microsoft wydał aktualizację „poza pasmem” po tym, jak dowiedział się, że ostatnia poprawka zabezpieczeń systemu Windows zaczęła powodować problemy z uwierzytelnianiem Kerberos. A jest to ważna poprawka, o czym poniżej.

Aktualizacje Patch Tuesday wydane 8 listopada obejmowały między innymi CVE-2022-37966, lukę w zabezpieczeniach umożliwiającą eskalację uprawnień na Serwerze Windows. Luka ta – o wysokim stopniu ważności – może pozwolić atakującemu na zbieranie informacji o docelowym systemie i uzyskanie uprawnień administratora.

„Nieuwierzytelniony hacker może przeprowadzić atak, który mógłby wykorzystać luki w protokole kryptograficznym w RFC 4757 (szyfrowanie Kerberos typu RC4-HMAC-MD5) i MS-PAC (specyfikacja struktury danych certyfikatu uprawnień), dzięki temu można ominąć funkcje bezpieczeństwa w środowisku Windows AD” – wyjaśnił Microsoft w swoim poradniku dotyczącym CVE-2022-37966.

Jednak kilka dni po opublikowaniu łatki użytkownicy zaczęli narzekać na problemy związane z uwierzytelnianiem Kerberos.

Microsoft zadziałał szybko i kilka dni później dostarczył środki zaradcze. Następnie, 17 listopada, wydał aktualizację „poza pasmem”, która powinna rozwiązać problem.

„Klienci, którzy nie zainstalowali jeszcze aktualizacji zabezpieczeń wydanych 8 listopada 2022 r., powinni zamiast tego zainstalować aktualizacje „poza pasmem”. Klienci, którzy już zainstalowali aktualizacje zabezpieczeń systemu Windows z 8 listopada 2022 r. i którzy mają problemy, też powinni zainstalować aktualizacje poza pasmem” – zaleciła korporacja.

CVE-2022-37966 nie był wykorzystywany w atakach i nie został ujawniony publicznie, ale Microsoft przyznał mu ocenę „bardzo prawdopodobne wykorzystanie”.

Microsoft Patch Tuesday

Kilka słów poświęcimy teraz samej aktualizacji z początku listopada, czyli wspomnianej Microsoft Patch Tuesday. Dotyczyła ona sześciu luk zero-day, w tym jednej związanej z funkcją bezpieczeństwa Mark-of-the-Web (MotW), która została wykorzystana przez cyberprzestępców do dostarczania złośliwego oprogramowania.

Windows dodaje MotW do plików pochodzących z niezaufanych lokalizacji, w tym tych do pobrania z przeglądarki oraz załączników do wiadomości e-mail. Podczas próby otwarcia plików za pomocą MotW użytkownicy są ostrzegani o potencjalnym ryzyku lub, w przypadku pakietu Office, makra są blokowane, aby zapobiec wykonaniu złośliwego kodu.

Istnieją jednak sposoby na ominięcie zabezpieczeń MotW. Badacz Will Dormann zidentyfikował trzy różne metody ich obejścia i poinformował o tym Microsoft już latem, ale łatki zostały wprowadzone dopiero teraz i tylko dla dwóch luk. Techniki działają na wszystkie lub większość wersji systemu Windows.

Jedna z metod polega na dostarczeniu szkodliwego pliku do archiwum ZIP. Jeśli złośliwy plik zostanie rozpakowany, pojawi się komunikat MotW, a użytkownik otrzyma ostrzeżenie. Jeżeli jednak plik będzie uruchamiany bezpośrednio z archiwum, system Windows otworzy go bez żadnego ostrzeżenia. Ten problem śledzony jest jako CVE-2022-41049 i został załatany przez Microsoft w ramach wspomnianej aktualizacji.

Inna metoda obejścia MotW polega na zapisaniu złośliwego pliku jako „tylko do odczytu” i umieszczeniu go w archiwum ZIP. Kiedy plik jest rozpakowywany, Windows próbuje ustawić MotW, ale kończy się to niepowodzeniem, co oznacza, że plik zostanie wykonany przez system bez ostrzeżenia. Luka śledzona jest jako CVE-2022-41091 i również została naprawiona przez Microsoft w opisywanej aktualizacji. To metoda, którą korporacja potwierdziła jako praktycznie wykorzystywaną w atakach.

Warto wspomnieć, że analitycy bezpieczeństwa HP przeanalizowali niedawno kampanię ransomware Magniber, wykorzystującą tę technikę do dostarczania złośliwego oprogramowania. Rich Warren z NCC Group, który również zajmował się tym problemem, potwierdził kilka ataków, mówiąc w połowie października, że widział złośliwe próbki sprzed co najmniej 10 miesięcy. Warren udostępnił również niektóre reguły Yara, pomagające wykrywać pliki ZIP, które próbują wykorzystać lukę.

Po opublikowaniu łatek Bill Demirkapi z Microsoftu wyjaśnił, że firma od lipca pracuje nad załataniem aktywnie wykorzystywanej luki. Korporacja dowiedziała się o problemie z licznych raportów badaczy.

W dalszym ciągu istnieje natomiast niezałatana luka umożliwiająca obejście MotW. Jest ona powiązana z uszkodzonym Authenticode. Jeśli plik ma zniekształcony podpis Authenticode, okno dialogowe ostrzeżenia nie jest wyświetlane.