Zespoły zajmujące się cyberbezpieczeństwem w Google oraz Microsofcie co jakiś czas wskazują sobie nawzajem na błędy w oprogramowaniu. Tym razem na bardzo poważną lukę wskazuje Google: natomiast winowajcą jest SmartScreen - mechanizm powiązany bezpośrednio z zabezpieczeniami, chroniący m. in. przed zagrożeniami pochodzącymi z Internetu.
Ów błąd został nawet wykorzystany przez ransomware Magniber - bardzo niebezpieczne złośliwe oprogramowanie, które wykorzystuje lukę pozostawioną przez zespół Microsoftu w newralgicznym dla zabezpieczeń komputera module. Okazuje się, że cyberprzestępcy dostarczają ofiarom pliki MSI podpisane nieprawidłową, ale specjalnie spreparowaną sygnaturą Authenticode. To wszystko powoduje, że SmartScreen zwraca błąd, który skutkuje ominięciem okna dialogowego ostrzeżenia bezpieczeństwa wyświetlanego użytkownikom. Google zwróciło się z tą informacją do Microsoftu 15 lutego 2023 roku, natomiast załatano ją dopiero w ostatnim wydaniu Microsoft Patch Tuesday i oznaczono jako CVE-2023-24880.
Google zaobserwował 100 000 pobrań złośliwych plików MSI od stycznia 2023 r. 80 procent z nich trafiło do ofiar z Europy - a jest to niezwykle ciekawe, bowiem znany już od dłuższego czasu Magniber bierze sobie na cel głównie internautów z Korei Południowej i Tajwanu. Mechanizm Google Safe Browsing, obecny chociażby w Google Chrome, wyświetlił 90 procentom tych osób ostrzeżenie przed pobraniem / użyciem tego programu, informując o obecności złośliwego oprogramowania. I tutaj punkt dla Google za reakcję oraz czujność: jak widać, udało się uniknąć ogromnej ilości infekcji. Warto nadmienić, że dotychczas ransomware Magniber był dostarczany przy użyciu plików JScript, natomiast przestępcy - gdy tylko zidentyfikowali lukę w SmartScreen - wykorzystali do tego celu pliki MSI, będące typowymi dla instalatorów programów i sterowników w systemach z rodziny Windows.
Jak wskazują specjaliści z bloga 0patch, po uruchomieniu jakiegokolwiek pliku poprzez explorer.exe, moduł shdocvw.dll wykonuje żądanie do interfejsu AppReputationService zaimplementowanego w smartscreen.exe: wtedy plik jest sprawdzany pod kątem obecności złośliwego oprogramowania. Domyślnie, DoSafeOpenPromptForShellExec modułu shdocvw.dll nie wyświetli ostrzeżenia o zabezpieczeniach, a jeśli żądanie smartscreen.exe zwróci błąd z jakiegokolwiek powodu, DoSafeOpenPromptForShellExec używa "ustawień domyślnych" i uruchamia plik bez żadnych ostrzeżeń o problemach z zabezpieczeniami. Wykorzystano właśnie ten mechanizm i przy okazji, użyto błędu w logice całego procesu oraz spreparowanego certyfikatu Authenticode.
Google w swojej publikacji na ten temat wskazał jasno: niektórzy twórcy oprogramowania wypuszczają "zbyt mało szerokie" łatki bezpieczeństwa, które powodują, że cyberprzestępcy poszukują nowych metod "wokół" dotychczasowej możliwości ataku. I tak stało się tym razem: Microsoft zwyczajnie nie docenił inwencji hakerów i ci skonstruowali udany atak z wykorzystaniem błędu w SmartScreen. Wcześniejsza poprawka powinna być na tyle niezawodna, aby nie dać możliwości zaatakowania w podobny sposób w ogóle. Wychodzi więc na to, że Google nieco "beszta" Microsoft za przygotowanie poprawek, które zasadniczo nie zapewniły nikomu odpowiedniego poziomu bezpieczeństwa - a wręcz przeciwnie. Przestępcy szybko znaleźli nowy wariant ataku i go wykorzystali.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
