image

Beveiligingsmaatregel Windows via ongeldige handtekening te omzeilen

maandag 24 oktober 2022, 12:09 door Redactie, 7 reacties

Een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet is door middel van een ongeldige handtekening te omzeilen. Dat ontdekte beveiligingsonderzoeker Will Dormann. Aanvallers maken actief misbruik van probleem om systemen met ransomware te infecteren.

Mark-of-the-Web (MOTW) zorgt ervoor dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. Onlangs lieten onderzoekers van HP Wolf Security weten dat eindgebruikers via nep-updates met de Magniber-ransomware werden geïnfecteerd.

De zogenaamde software-update wordt vanaf malafide websites aangeboden. Het gaat om een zip-bestand waarin een JavaScript-bestand zit. Normaliter zouden gebruikers een waarschuwing te zien moeten krijgen dat ze een bestand openen dat van het internet afkomstig is. De waarschuwing verschijnt echter niet, wat komt doordat er een digitale handtekening aan het bestand is toegevoegd. Het is mogelijk om bestanden digitaal te signeren. Daardoor weten gebruikers van wie het bestand afkomstig is en dat de code sinds de publicatie niet is aangepast.

Dormann deed verder onderzoek naar het malafide bestand en zag dat er een ongeldige handtekening was gebruikt die ervoor zorgt dat Windows de MOTW-waarschuwing niet toont. "Alsof het bestand geen Mark-of-the-Web heeft", zo laat hij via Twitter weten. Daardoor krijgen gebruikers bij het openen van het script geen waarschuwing en wordt de ransomware vervolgens geïnstalleerd.

Dormman vermoedt dat het probleem wordt veroorzaakt door de SmartScreen-controle die aanwezig is in Windows 10 en nieuwer. Wanneer gebruikers de controle van apps en bestanden door SmartScreen uitschakelen verschijnt er wel een melding. Microsoft is over het probleem ingelicht en zou een onderzoek zijn gestart.

Image

Reacties (7)
24-10-2022, 12:24 door Anoniem
<ironic>giegel... waarom zou je een digitale handtekening nu moeten controleren dan? </ironic>
24-10-2022, 13:40 door Anoniem
Mark-of-the-Web (MOTW) zorgt ervoor dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien
Hier wordt je ongelooflijk simpel van zo'n oplossing. Hoe duidelijker wil je het hebben dat windows niet is ontworpen met security in mind.
24-10-2022, 22:00 door Erik van Straten
Door Anoniem: Hoe duidelijker wil je het hebben dat windows niet is ontworpen met security in mind.
Het is veel erger. Dit probleem is met "smartscreen" geïntroduceerd in Windows 10 (het probleem bestaat niet in 8.1 en ouder).

Echt "smart", geen enkele melding na dubbelklikken op een executable met MotW en corrupte signature.

Opmerkelijk vind ik hoe weinig interesse er nog lijkt te bestaan (bij anderen dan cybercriminelen) in de enorme Microsoft-blunders van de laatste tijd.
24-10-2022, 23:18 door Anoniem
Door Anoniem: <ironic>giegel... waarom zou je een digitale handtekening nu moeten controleren dan? </ironic>
Nou, omdat íe er echt uitziet, als een echte handtekening, dan hoeft dat toch niet.
25-10-2022, 09:35 door Anoniem
Door Erik van Straten:
Door Anoniem: Hoe duidelijker wil je het hebben dat windows niet is ontworpen met security in mind.
Het is veel erger. Dit probleem is met "smartscreen" geïntroduceerd in Windows 10 (het probleem bestaat niet in 8.1 en ouder).

Echt "smart", geen enkele melding na dubbelklikken op een executable met MotW en corrupte signature.

Opmerkelijk vind ik hoe weinig interesse er nog lijkt te bestaan (bij anderen dan cybercriminelen) in de enorme Microsoft-blunders van de laatste tijd.
Het boeit ze niet omdat beheerders toch al niet "in control" zijn door al die 3party software die admin rechten opeist.
Heel opmerkelijk dat door een driveby download infectie je omgeving versleutelt kan worden zonder gebruik te maken van een vulnerability. Ik zou er niet mee durven/willen werken.
25-10-2022, 10:10 door Anoniem
Dit is niets nieuws en ook geen kwetsbaarheid.
De bestand kan je simpel downloaden dat is geen probleem, alleen bij runtime wordt smartscreen geprompt.

De zoneID moet eerst verwijderd worden om geen smartscreen te prompten, beetje het zelfde als klikken op 'Unblock' in de bestand eigenschappen zodra je het van het internet download.

Niets nieuws, en niets speciaals hier aan.
25-10-2022, 13:36 door Anoniem
Door Anoniem: Dit is niets nieuws en ook geen kwetsbaarheid.
De bestand kan je simpel downloaden dat is geen probleem, alleen bij runtime wordt smartscreen geprompt.

De zoneID moet eerst verwijderd worden om geen smartscreen te prompten, beetje het zelfde als klikken op 'Unblock' in de bestand eigenschappen zodra je het van het internet download.

Niets nieuws, en niets speciaals hier aan.
Je hebt er niks van begrepen. Er verschijnt geen melding als smartscreen aan staat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.