Wykazano kolejną poważną podatność w Windows, która w podatnych rękach może umożliwić cyberprzestępcom pobranie oraz zainstalowanie na komputerze złośliwego oprogramowania. Wszystko przez CertUtil, który może zostać wykorzystany do zarządzania certyfikatami w Windows. Program zaspokaja takie potrzeby jak instalowanie, sporządzanie kopii zapasowych, usuwanie oraz wykonywanie określonych operacji na certyfikatach w systemie.
To, co powoduje, że CertUtil może zostać wykorzystany przez cyberprzestępców to fakt, iż umożliwia on ponadto możliwość pobrania z sieci określonego certyfikatu (a nawet dowolnego pliku) z podanego mu adresu URL. Ponadto, zapisuje go używając składni: "certutil.exe -urlcache -split -f [URL] output.file"
Już od 2 lat wiadomo o tym, że CertUtil może zostać wykorzystany do pobrania niebezpiecznego oprogramowania. W 2016 roku, Casey Smith wykazał, że odpowiednia taktyka pozwala na pobranie dowolnego pliku przez ten komponent. Co więcej, odkryte w marcu 2018 roku zagrożenie wykorzystuje CertUtil do pobierania tzw. "batchów" zawierających w sobie złośliwe instrukcje instalujące kolejne, niebezpieczne programy.
Mimo posiadania dostępu do komputera, cyberprzestępcy bardzo chętnie wykorzystują tę podatność. Windows Defender jest w stanie blokować niektóre operacje złośliwych programów, jeżeli te mogą zaważyć na bezpieczeństwie całej maszyny. Niemniej, antywirus bardzo łagodnie podchodzi do operacji wykonywanych przez komponenty systemowe - przeniesienie niebezpiecznych akcji do programu będącego częścią składową Windows pozwala na ominięcie działającego pakietu bezpieczeństwa - nie tylko Defendera, ale również innych.
Brazilian coders are already abusing this tool for some time, using to install more malware...
— Fabio Assolini (@assolini) 4 kwietnia 2018
To, co powoduje, że CertUtil może zostać wykorzystany przez cyberprzestępców to fakt, iż umożliwia on ponadto możliwość pobrania z sieci określonego certyfikatu (a nawet dowolnego pliku) z podanego mu adresu URL. Ponadto, zapisuje go używając składni: "certutil.exe -urlcache -split -f [URL] output.file"
Już od 2 lat wiadomo o tym, że CertUtil może zostać wykorzystany do pobrania niebezpiecznego oprogramowania. W 2016 roku, Casey Smith wykazał, że odpowiednia taktyka pozwala na pobranie dowolnego pliku przez ten komponent. Co więcej, odkryte w marcu 2018 roku zagrożenie wykorzystuje CertUtil do pobierania tzw. "batchów" zawierających w sobie złośliwe instrukcje instalujące kolejne, niebezpieczne programy.
Mimo posiadania dostępu do komputera, cyberprzestępcy bardzo chętnie wykorzystują tę podatność. Windows Defender jest w stanie blokować niektóre operacje złośliwych programów, jeżeli te mogą zaważyć na bezpieczeństwie całej maszyny. Niemniej, antywirus bardzo łagodnie podchodzi do operacji wykonywanych przez komponenty systemowe - przeniesienie niebezpiecznych akcji do programu będącego częścią składową Windows pozwala na ominięcie działającego pakietu bezpieczeństwa - nie tylko Defendera, ale również innych.
Brazilian coders are already abusing this tool for some time, using to install more malware...
— Fabio Assolini (@assolini) 4 kwietnia 2018
Microsoft zrobił sporo dobrego w kwestii Defendera, który okazuje się być podobnie skuteczny jak inne, komercyjne pakiety antywirusowe. Mało tego, podstawowy dla Windows mechanizm bezpieczeństwa jest w stanie aktywnie reagować również na nieznane zagrożenia bazując na wiedzy zgromadzonej w "chmurze". W ostatnim czasie Microsoft chwalił się nawet tym, że dzięki takiemu podejściu udało się zapobiec rozprzestrzenieniu bardzo poważnego cyberzagrożenia.
Niemniej, obecność takiego komponentu jak CertUtil w Windows, który może zostać wykorzystany do pobrania oraz uruchomienia dosłownie wszystkiego, co podsunie mu cyberprzestępca to niezwykle niebezpieczna sytuacja. Niemniej, sam błąd nie jest tak prosty w naprawie - CertUtil to w zasadzie newralgiczna część systemu operacyjnego i zmiana w niej może spowodować trudności dla użytkowników, którzy aktywnie wykorzystują ją do instalowania certyfikatów (np. w zastosowaniach serwerowych). Bardzo prawdopodobne, że Windows Defender zostanie wkrótce wyposażony w narzędzia, które pozwolą na weryfikowanie operacji przeprowadzanych właśnie przez CertUtil - tak, aby niemożliwe było pobranie m. in. "batchów", które mogą zawierać w sobie kolejne złośliwe instrukcje.
Microsoft zrobił sporo dobrego w kwestii Defendera, który okazuje się być podobnie skuteczny jak inne, komercyjne pakiety antywirusowe. Mało tego, podstawowy dla Windows mechanizm bezpieczeństwa jest w stanie aktywnie reagować również na nieznane zagrożenia bazując na wiedzy zgromadzonej w "chmurze". W ostatnim czasie Microsoft chwalił się nawet tym, że dzięki takiemu podejściu udało się zapobiec rozprzestrzenieniu bardzo poważnego cyberzagrożenia.
Niemniej, obecność takiego komponentu jak CertUtil w Windows, który może zostać wykorzystany do pobrania oraz uruchomienia dosłownie wszystkiego, co podsunie mu cyberprzestępca to niezwykle niebezpieczna sytuacja. Niemniej, sam błąd nie jest tak prosty w naprawie - CertUtil to w zasadzie newralgiczna część systemu operacyjnego i zmiana w niej może spowodować trudności dla użytkowników, którzy aktywnie wykorzystują ją do instalowania certyfikatów (np. w zastosowaniach serwerowych). Bardzo prawdopodobne, że Windows Defender zostanie wkrótce wyposażony w narzędzia, które pozwolą na weryfikowanie operacji przeprowadzanych właśnie przez CertUtil - tak, aby niemożliwe było pobranie m. in. "batchów", które mogą zawierać w sobie kolejne złośliwe instrukcje.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
