O tym, że trzeba instalować poprawki do używanych aplikacji, pisaliśmy wielokrotnie, a że warto uważać na poprawki od giganta z Richmond, twierdziliśmy kilka razy. No to po raz kolejny…
Microsoft wydał aktualizację „poza pasmem” po tym, jak dowiedział się, że ostatnia poprawka zabezpieczeń systemu Windows zaczęła powodować problemy z uwierzytelnianiem Kerberos. A jest to ważna poprawka, o czym poniżej.
Aktualizacje Patch Tuesday wydane 8 listopada obejmowały między innymi CVE-2022-37966, lukę w zabezpieczeniach umożliwiającą eskalację uprawnień na Serwerze Windows. Luka ta – o wysokim stopniu ważności – może pozwolić atakującemu na zbieranie informacji o docelowym systemie i uzyskanie uprawnień administratora.
„Nieuwierzytelniony hacker może przeprowadzić atak, który mógłby wykorzystać luki w protokole kryptograficznym w RFC 4757 (szyfrowanie Kerberos typu RC4-HMAC-MD5) i MS-PAC (specyfikacja struktury danych certyfikatu uprawnień), dzięki temu można ominąć funkcje bezpieczeństwa w środowisku Windows AD” – wyjaśnił Microsoft w swoim poradniku dotyczącym CVE-2022-37966.
Jednak kilka dni po opublikowaniu łatki użytkownicy zaczęli narzekać na problemy związane z uwierzytelnianiem Kerberos.
Microsoft zadziałał szybko i kilka dni później dostarczył środki zaradcze. Następnie, 17 listopada, wydał aktualizację „poza pasmem”, która powinna rozwiązać problem.
„Klienci, którzy nie zainstalowali jeszcze aktualizacji zabezpieczeń wydanych 8 listopada 2022 r., powinni zamiast tego zainstalować aktualizacje „poza pasmem”. Klienci, którzy już zainstalowali aktualizacje zabezpieczeń systemu Windows z 8 listopada 2022 r. i którzy mają problemy, też powinni zainstalować aktualizacje poza pasmem” – zaleciła korporacja.
CVE-2022-37966 nie był wykorzystywany w atakach i nie został ujawniony publicznie, ale Microsoft przyznał mu ocenę „bardzo prawdopodobne wykorzystanie”.
Microsoft Patch Tuesday
Kilka słów poświęcimy teraz samej aktualizacji z początku listopada, czyli wspomnianej Microsoft Patch Tuesday. Dotyczyła ona sześciu luk zero-day, w tym jednej związanej z funkcją bezpieczeństwa Mark-of-the-Web (MotW), która została wykorzystana przez cyberprzestępców do dostarczania złośliwego oprogramowania.
Windows dodaje MotW do plików pochodzących z niezaufanych lokalizacji, w tym tych do pobrania z przeglądarki oraz załączników do wiadomości e-mail. Podczas próby otwarcia plików za pomocą MotW użytkownicy są ostrzegani o potencjalnym ryzyku lub, w przypadku pakietu Office, makra są blokowane, aby zapobiec wykonaniu złośliwego kodu.
Istnieją jednak sposoby na ominięcie zabezpieczeń MotW. Badacz Will Dormann zidentyfikował trzy różne metody ich obejścia i poinformował o tym Microsoft już latem, ale łatki zostały wprowadzone dopiero teraz i tylko dla dwóch luk. Techniki działają na wszystkie lub większość wersji systemu Windows.
Jedna z metod polega na dostarczeniu szkodliwego pliku do archiwum ZIP. Jeśli złośliwy plik zostanie rozpakowany, pojawi się komunikat MotW, a użytkownik otrzyma ostrzeżenie. Jeżeli jednak plik będzie uruchamiany bezpośrednio z archiwum, system Windows otworzy go bez żadnego ostrzeżenia. Ten problem śledzony jest jako CVE-2022-41049 i został załatany przez Microsoft w ramach wspomnianej aktualizacji.
Inna metoda obejścia MotW polega na zapisaniu złośliwego pliku jako „tylko do odczytu” i umieszczeniu go w archiwum ZIP. Kiedy plik jest rozpakowywany, Windows próbuje ustawić MotW, ale kończy się to niepowodzeniem, co oznacza, że plik zostanie wykonany przez system bez ostrzeżenia. Luka śledzona jest jako CVE-2022-41091 i również została naprawiona przez Microsoft w opisywanej aktualizacji. To metoda, którą korporacja potwierdziła jako praktycznie wykorzystywaną w atakach.
Warto wspomnieć, że analitycy bezpieczeństwa HP przeanalizowali niedawno kampanię ransomware Magniber, wykorzystującą tę technikę do dostarczania złośliwego oprogramowania. Rich Warren z NCC Group, który również zajmował się tym problemem, potwierdził kilka ataków, mówiąc w połowie października, że widział złośliwe próbki sprzed co najmniej 10 miesięcy. Warren udostępnił również niektóre reguły Yara, pomagające wykrywać pliki ZIP, które próbują wykorzystać lukę.
Po opublikowaniu łatek Bill Demirkapi z Microsoftu wyjaśnił, że firma od lipca pracuje nad załataniem aktywnie wykorzystywanej luki. Korporacja dowiedziała się o problemie z licznych raportów badaczy.
W dalszym ciągu istnieje natomiast niezałatana luka umożliwiająca obejście MotW. Jest ona powiązana z uszkodzonym Authenticode. Jeśli plik ma zniekształcony podpis Authenticode, okno dialogowe ostrzeżenia nie jest wyświetlane.