CVE-2020-1464-sårbarheden var en del af 120 sikkerhedsmæssige mangler adresseret i August's Patch tirsdag. Denne sårbarhed skiller sig især ud, da den aktivt blev udsat for ondsindede angreb i mindst to år, før Microsoft fikste det.
Hvad er CVE-2020-1464?
I henhold til den officielle beskrivelse leveret af Microsoft, problemet er en spoofing-sårbarhed udløst af den forkerte måde, hvorpå Windows validerer filunderskrifter. I tilfælde af en vellykket udnytte, angriberen kunne omgå sikkerhedsfunktioner og indlæse forkert signerede filer.
Rettelsen, der blev frigivet i denne måneds Patch tirsdag, korrigerer den måde, hvorpå Windows validerer filsignaturer.
Ifølge Brian Krebs, angreb baseret på CVE-2020-1464 blev først observeret for to år siden, i august 2018, da flere forskere kom i kontakt med Microsoft for at informere dem om problemet. Men, der er ingen omtale af dette i Microsofts rådgivning, selvom virksomheden anerkendte, at fejlen blev aktivt udnyttet i angreb.
I et blogindlæg dedikeret til sårbarheden, Brian Krebs deler følgende:
Bernardo Quintero er manager hos VirusTotal, en service, der ejes af Google, der scanner eventuelle indsendte filer mod dusinvis af antivirus-tjenester og viser resultaterne. On jan. 15, 2019, Quintero offentliggjorde et blogindlæg, hvor han skitserede, hvordan Windows holder Authenticode-signaturen gyldig efter at have tilføjet noget indhold til slutningen af Windows Installer-filer (dem, der slutter på .MSI) underskrevet af enhver softwareudvikler.
Ifølge Quintero, denne sårbarhed kan være meget farlig, hvis en angriberen skulle bruge til at skjule ondsindede Java-filer (.krukke). Denne angrebsvektor blev faktisk detekteret i en malware-prøve, der blev delt med VirusTotal.
Dette betyder, at en angriber kan tilføje en ondsindet JAR til en MSI-fil, der er underskrevet af et firma som Microsoft eller Google. Den resulterende fil kunne derefter omdøbes med filtypen .jar, der stadig har en gyldig signatur ifølge Microsoft Windows. Det, der er ganske nysgerrig, er, at Microsoft anerkendte Quinteros fund, men nægtede at tackle problemet, da det først blev rapporteret, som synlig af forskerens originalt indlæg fra 2019.
Quintero er ikke den eneste forsker, der rejste bekymring for sårbarheden, da andre hurtigt fulgte ham med separate fund af malware-angreb, der misbrugte problemet.
Det enkle spørgsmål er, hvorfor Microsoft måtte vente to år, før den aktivt udnyttede CVE-2020-1464 ordentligt blev opdateret.
Ikke første gang Microsoft nægter at lappe en nul-dag
Dette er ikke det første tilfælde af en sådan størrelse, når Microsoft har været for tilbageholdende med at adressere kritiske nul-dages fejl i Windows. Bare kig på nedenstående historier:
- Microsoft undlader at Patch Zero-Day Bug i Windows SymCrypt (Juni 2019)
- Microsoft nægter at lappe Zero-Day Exploit i Internet Explorer (April 2019)
- To Zero-Day Fejl og mangler i Edge og Internet Explorer Remain Unpatched (April 2019)
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: