Wykazano kolejną poważną podatność w Windows, która w podatnych rękach może umożliwić cyberprzestępcom pobranie oraz zainstalowanie na komputerze złośliwego oprogramowania. Wszystko przez CertUtil, który może zostać wykorzystany do zarządzania certyfikatami w Windows. Program zaspokaja takie potrzeby jak instalowanie, sporządzanie kopii zapasowych, usuwanie oraz wykonywanie określonych operacji na certyfikatach w systemie.
To, co powoduje, że CertUtil może zostać wykorzystany przez cyberprzestępców to fakt, iż umożliwia on ponadto możliwość pobrania z sieci określonego certyfikatu (a nawet dowolnego pliku) z podanego mu adresu URL. Ponadto, zapisuje go używając składni: "certutil.exe -urlcache -split -f [URL] output.file"
Już od 2 lat wiadomo o tym, że CertUtil może zostać wykorzystany do pobrania niebezpiecznego oprogramowania. W 2016 roku, Casey Smith wykazał, że odpowiednia taktyka pozwala na pobranie dowolnego pliku przez ten komponent. Co więcej, odkryte w marcu 2018 roku zagrożenie wykorzystuje CertUtil do pobierania tzw. "batchów" zawierających w sobie złośliwe instrukcje instalujące kolejne, niebezpieczne programy.
Powód, dla którego cyberprzestępcy chętnie wykorzystują CertUtil jest prosty. To program systemowy, który pozwala ominąć program antywirusowy
Mimo posiadania dostępu do komputera, cyberprzestępcy bardzo chętnie wykorzystują tę podatność. Windows Defender jest w stanie blokować niektóre operacje złośliwych programów, jeżeli te mogą zaważyć na bezpieczeństwie całej maszyny. Niemniej, antywirus bardzo łagodnie podchodzi do operacji wykonywanych przez komponenty systemowe - przeniesienie niebezpiecznych akcji do programu będącego częścią składową Windows pozwala na ominięcie działającego pakietu bezpieczeństwa - nie tylko Defendera, ale również innych.
Brazilian coders are already abusing this tool for some time, using to install more malware...
— Fabio Assolini (@assolini) 4 kwietnia 2018
Microsoft musi zabezpieczyć Windows przed tego typu atakami
Microsoft zrobił sporo dobrego w kwestii Defendera, który okazuje się być podobnie skuteczny jak inne, komercyjne pakiety antywirusowe. Mało tego, podstawowy dla Windows mechanizm bezpieczeństwa jest w stanie aktywnie reagować również na nieznane zagrożenia bazując na wiedzy zgromadzonej w "chmurze". W ostatnim czasie Microsoft chwalił się nawet tym, że dzięki takiemu podejściu udało się zapobiec rozprzestrzenieniu bardzo poważnego cyberzagrożenia.
Niemniej, obecność takiego komponentu jak CertUtil w Windows, który może zostać wykorzystany do pobrania oraz uruchomienia dosłownie wszystkiego, co podsunie mu cyberprzestępca to niezwykle niebezpieczna sytuacja. Niemniej, sam błąd nie jest tak prosty w naprawie - CertUtil to w zasadzie newralgiczna część systemu operacyjnego i zmiana w niej może spowodować trudności dla użytkowników, którzy aktywnie wykorzystują ją do instalowania certyfikatów (np. w zastosowaniach serwerowych). Bardzo prawdopodobne, że Windows Defender zostanie wkrótce wyposażony w narzędzia, które pozwolą na weryfikowanie operacji przeprowadzanych właśnie przez CertUtil - tak, aby niemożliwe było pobranie m. in. "batchów", które mogą zawierać w sobie kolejne złośliwe instrukcje.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu