最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Windows零日漏洞让JavaScript文件绕过安全警告

网络安全 快米云 50浏览

红色背景上的 Windows 徽标

文章末尾添加了一个更新,解释任何 Authenticode 签名的文件,包括可执行文件,都可以修改以绕过警告。

新的 Windows 零日漏洞允许威胁参与者使用恶意的独立 JavaScript 文件绕过 Web 标记安全警告。已经看到威胁参与者在勒索软件攻击中使用零日漏洞。

Windows 包含一个称为 Web 标记 (MoTW) 的安全功能,该功能将文件标记为已从 Internet 下载,因此应谨慎处理,因为它可能是恶意的。

MoTW 标志作为称为“Zone.Identifier”的特殊备用数据流添加到下载的文件或电子邮件附件中,可以使用“dir /R”命令查看并直接在记事本中打开,如下所示。

Mark-of-the-Web 备用数据流
Mark-of-the-Web 备用数据流
来源:news.zzqidc.com

这个“Zone.Identifier”备用数据流包括文件来自哪个 URL 安全区域 (三个等于 Internet)、引用者和文件的 URL。

当用户尝试打开带有 Web 标记标志的文件时,Windows 将显示一条警告,指出应谨慎处理该文件。

“虽然来自 Internet 的文件很有用,但这种文件类型可能会损害您的计算机。如果您不信任来源,请不要打开此软件,”来自 Windows 的警告中写道。

打开带有 MoTW 标志的文件时的 Windows 安全警告
打开带有 MoTW 标志的文件时的 Windows 安全警告
来源:news.zzqidc.com

Microsoft Office 还利用 MoTW 标志来确定文件是否应在受保护的视图中打开,从而导致宏被禁用。

Windows MoTW 绕过零日漏洞

惠普威胁情报团队最近报告说,威胁行为者正在 使用 JavaScript 文件感染带有 Magniber 勒索软件的设备。

需要明确的是,我们不是在谈论几乎所有网站上常用的 JavaScript 文件,而是威胁参与者分发的 .JS 文件作为附件或可以在 Web 浏览器之外运行的下载文件。

Magniber 威胁参与者分发的 JavaScript 文件使用嵌入式 base64 编码签名块进行数字签名,如 Microsoft 支持文章中所述。

用于安装 Magniber Ransomware 的 JavaScript 文件
用于安装 Magniber 勒索软件的 JavaScript 文件
来源:news.zzqidc.com

在 ANALYGENCE 的高级漏洞分析师 Will Dormann分析后,他发现 攻击者使用格式错误的密钥签署了这些文件。

恶意 JavaScript 文件中的格式错误的签名
恶意 JavaScript 文件中的格式错误的签名
来源:news.zzqidc.com

以这种方式签名后,即使从互联网上下载了 JS 文件并收到了 MoTW 标志,微软也不会显示安全警告,并且会自动执行脚本来安装 Magniber 勒索软件。

Dormann 进一步测试了在 JavaScript 文件中使用这种格式错误的签名,并能够创建可以绕过 MoTW 警告的概念验证 JavaScript 文件。

这两个 JavaScript (.JS) 文件都与news.zzqidc.com共享,如下所示,当从网站下载时,它们都收到了 Web 标记,如红色框所示。

关于 Dormann 的 PoC 漏洞利用的网络标记
Dormann 的 PoC 漏洞利用的网络标记
来源:news.zzqidc.com

这两个文件之间的区别在于,一个使用来自 Magniber 文件的相同格式错误的密钥进行签名,而另一个根本不包含签名。

Dormann 的 PoC 漏洞利用
Dormann 的 PoC 漏洞利用
来源:news.zzqidc.com

在 Windows 10 中打开未签名文件时,会正确显示 MoTW 安全警告。

但是,当双击使用格式错误的密钥签名的“calc-othersig.js”时,Windows 不会显示安全警告,而是简单地执行 JavaSript 代码,如下所示。

Windows 零日绕过安全警告的演示
Windows 零日绕过安全警告的演示
资料来源:news.zzqidc.com

使用这种技术,攻击者可以绕过打开下载的 JS 文件时显示的正常安全警告并自动执行脚本。

news.zzqidc.com能够在 Windows 10 中重现该错误。但是,对于 Windows 11,该错误只会在直接从存档运行 JS 文件时触发。

Dormann 告诉news.zzqidc.com,他认为这个漏洞是在 Windows 10 发布时首次引入的,因为完全修补的 Windows 8.1 设备会按预期显示 MoTW 安全警告。

根据 Dormann 的说法,该漏洞源于 Windows 10 新的“检查应用程序和文件”SmartScreen 功能,位于 Windows 安全 > 应用程序和浏览器控制 > 基于信誉的保护设置下

“这个问题出在新的 Win10 SmartScreen 功能中。禁用“检查应用程序和文件”会将 Windows 恢复为旧行为,其中 MotW 提示与 Authenticode 签名无关,”Dormann 告诉 news.zzqidc.com

“所以不幸的是,整个设置目前是一种权衡。一方面,它确实会扫描下载的坏人。”

“另一方面,与禁用该功能相比,利用此漏洞的坏人可以从 Windows 获得不太安全的行为。”

零日漏洞尤其令人担忧,因为我们知道威胁参与者正在积极利用它进行勒索软件攻击。

Dormann 与微软分享了概念验证,微软表示他们无法重现 MoTW 安全警告绕过。

然而,微软告诉 news.zzqidc.com,他们知道报告的问题并正在调查它。

22 年 10 月 22 日更新

在这篇文章发表后,Dormann 告诉news.zzqidc.com,攻击者可以修改任何 Authenticode 签名的文件,包括可执行文件 (.EXE),以绕过 MoTW 安全警告。

为此,Dormann 说,可以使用十六进制编辑器修改签名的可执行文件,以更改文件签名部分中的某些字节,从而破坏签名。

一旦签名损坏,Windows 将不会使用 SmartScreen 检查文件,就好像不存在 MoTW 标志一样,并允许它运行。

“如果签名损坏,具有 MotW 的文件将被视为没有 MotW。这在现实世界中产生的差异取决于它是什么类型的文件,”Dormann 解释说。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Windows零日漏洞让JavaScript文件绕过安全警告