В Microsoft решили исправить уязвимость в Windows, о которой эксперты говорили еще 2 года назад

Дата: 17.08.2020. Автор: Артем П. Категории: Новости по информационной безопасности

В рамках недавно выпущенного обновления корпорация Microsoft сообщила об исправлении уязвимости, позволявшей преобразовывать файлы MSI во вредоносные исполняемые файлы Java с сохранением при этом легитимной цифровой подписи.

Отследить эту уязвимость можно по идентификатору CVE-2020-1464. Корпорация Microsoft описывает проблему в качестве спуфинговой уязвимости, связанной с особенностями проверки в Windows файлов подписей: «Уязвимость подмены присутствует при неправильной проверке подписи файлов в Windows. Киберпреступники, успешно воспользовавшиеся этой уязвимостью, могут обойти функции безопасности и загрузить неверно подписанные файлы. При проведении атаки хакер может обойти функции безопасности, которые предназначены для предотвращения загрузки неверно подписанных файлов».

Эксперт по информационной безопасности Тал Бери отметил, что это очередное запоздалое обновление, которое предназначено для ошибки, найденной около двух лет назад (а конкретнее – 18 августа 2018 г.). Причем представители Microsoft еще тогда заявили, что разработчики не собираются устранять эту уязвимость.

В январе 2019 года Бернардо Кинтеро из VirusTotal сообщил, как вредоносный подписанный исполняемый файл Java был загружен и обнаружен их службой VirusTotal Monitor в 2018 году:

Специалист, изучив файл .JAR, обнаружил, что вредонос представлен в виде файла MSI с добавленным к нему файлом Java JAR.

Несмотря на то, что этот файл MSI был изменен и переименован в файл JAR, проблема заключалась в том, что Windows по-прежнему считает, что файл подписан действительным сертификатом от Google, как показано ниже:

Поскольку некоторые решения безопасности используют цифровую подпись, чтобы определить, следует ли разрешить запуск неизвестного файла, злоумышленник может использовать этот метод для создания вредоносного ПО Java, которое обходит программное обеспечение безопасности. Обнаружив эту проблему, мистер Кинтеро сообщил о ней в Microsoft 18 августа 2018 г., но ему ответили, что уязвимость не будет исправлена.

Интернет-издание BleepingComputer обратилось в Microsoft с вопросом, почему потребовалось два года, чтобы устранить эту уязвимость, а также почему Бернардо Кинтеро из VirusTotal не был назван лицом, которое эту проблему обнаружило. Никакого ответа от корпорации не последовало.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

15 − 14 =