Die Sicherheitsanfälligkeit CVE-2020-1464 war Teil der 120 Sicherheitslücken behoben in Augusts Patch Dienstag. Diese Sicherheitsanfälligkeit ist besonders hervorzuheben, da sie mindestens zwei Jahre lang bei böswilligen Angriffen aktiv ausgenutzt wurde, bevor Microsoft sie behoben hat.
Was ist CVE-2020-1464??
Nach der offiziellen Beschreibung von Microsoft, Das Problem ist eine Spoofing-Sicherheitsanfälligkeit, die durch die falsche Überprüfung von Dateisignaturen durch Windows ausgelöst wird. Im Falle eines erfolgreichen Angriffs, Der Angreifer kann Sicherheitsfunktionen umgehen und nicht ordnungsgemäß signierte Dateien laden.
Das Update, das im Patch Tuesday dieses Monats veröffentlicht wurde, korrigiert die Art und Weise, wie Windows Dateisignaturen überprüft.
Laut Brian Krebs, Angriffe auf der Basis von CVE-2020-1464 wurden erstmals vor zwei Jahren beobachtet, im August 2018, als sich mehrere Forscher mit Microsoft in Verbindung setzten, um sie über das Problem zu informieren. Jedoch, In der Microsoft-Empfehlung wird dies nicht erwähnt, obwohl das Unternehmen anerkannte, dass der Fehler bei Angriffen aktiv ausgenutzt wurde.
In einem Blog-Beitrag über die Sicherheitslücke, Brian Krebs teilt das Folgende:
Bernardo Quintero ist der Manager bei VirusTotal, Ein Dienst von Google, der alle übermittelten Dateien anhand von Dutzenden von Antiviren-Diensten überprüft und die Ergebnisse anzeigt. Auf Jan. 15, 2019, Quintero hat einen Blogbeitrag veröffentlicht, in dem erläutert wird, wie Windows die Authenticode-Signatur nach dem Anhängen von Inhalten an das Ende von Windows Installer-Dateien gültig hält (diejenigen, die mit .MSI enden) von jedem Softwareentwickler signiert.
Laut Quintero, Diese Sicherheitsanfälligkeit kann sehr gefährlich sein, wenn ein Angreifer schädliche Java-Dateien versteckt (.Glas). Dieser Angriffsvektor wurde tatsächlich in einem Malware-Beispiel erkannt, das mit VirusTotal geteilt wurde.
Dies bedeutet, dass ein Angreifer eine böswillige JAR an eine MSI-Datei anhängen kann, die von einem Unternehmen wie Microsoft oder Google signiert wurde. Die resultierende Datei könnte dann mit der Erweiterung .jar umbenannt werden, noch eine gültige Signatur gemäß Microsoft Windows. Was ziemlich merkwürdig ist, ist, dass Microsoft die Ergebnisse von Quintero anerkannt hat, sich jedoch geweigert hat, das Problem zu beheben, als es zum ersten Mal gemeldet wurde, wie für den Forscher sichtbar Originalbeitrag von 2019.
Quintero ist nicht der einzige Forscher, der Bedenken hinsichtlich der Sicherheitsanfälligkeit geäußert hat, andere folgten ihm schnell mit separaten Ergebnissen von Malware-Angriffen, die das Problem missbrauchten.
Die einfache Frage ist, warum Microsoft zwei Jahre warten musste, bevor das aktiv genutzte CVE-2020-1464 ordnungsgemäß gepatcht wurde.
Nicht das erste Mal, dass Microsoft sich weigert, einen Zero-Day zu patchen
Dies ist nicht der erste Fall dieser Größenordnung, wenn Microsoft zu ungern war, um kritische Zero-Day-Fehler in Windows zu beheben. Schauen Sie sich einfach die unten verlinkten Geschichten an:
- Microsoft schlägt fehl, Zero-Day-Bug in Windows SymCrypt Patchen (Juni 2019)
- Microsoft lehnt es ab, Zero-Day in Internet Explorer Exploit zu Patchen (April 2019)
- Two Zero-Day Flaws in Rand- und Internet Explorer bleiben ungepatchten (April 2019)