La vulnerabilità CVE-2020-1464 faceva parte di 120 falle di sicurezza risolte in Martedì delle patch di agosto. Questa vulnerabilità si distingue in particolare poiché è stata attivamente smascherata in attacchi dannosi per almeno due anni prima che Microsoft la risolvesse.
Cos'è CVE-2020-1464?
Secondo la descrizione ufficiale fornita da Microsoft, il problema è una vulnerabilità di spoofing innescata dal modo errato in cui Windows convalida le firme dei file. In caso di riuscito exploit, l'autore dell'attacco potrebbe aggirare le funzioni di sicurezza e caricare file firmati in modo non corretto.
La correzione che è stata rilasciata nella patch martedì di questo mese, corregge il modo in cui Windows convalida le firme dei file.
Secondo Brian Krebs, gli attacchi basati su CVE-2020-1464 sono stati osservati per la prima volta due anni fa, in agosto 2018, quando diversi ricercatori si sono messi in contatto con Microsoft informandoli del problema. Tuttavia, non vi è alcuna menzione di questo nell'advisory di Microsoft, sebbene la società abbia riconosciuto che il bug è stato attivamente sfruttato negli attacchi.
In un post del blog dedicato alla vulnerabilità, Brian Krebs condivide quanto segue:
Bernardo Quintero è il manager di VirusTotal, un servizio di proprietà di Google che analizza i file inviati rispetto a dozzine di servizi antivirus e visualizza i risultati. su Jan. 15, 2019, Quintero ha pubblicato un post sul blog delineando come Windows mantiene valida la firma Authenticode dopo aver aggiunto qualsiasi contenuto alla fine dei file di Windows Installer (quelli che terminano con .MSI) firmato da qualsiasi sviluppatore di software.
Secondo Quintero, questa vulnerabilità potrebbe essere molto pericolosa se un utente malintenzionato la utilizzasse per nascondere file Java dannosi (.vaso). Questo vettore di attacco è stato infatti rilevato in un campione di malware condiviso con VirusTotal.
Ciò significa che un utente malintenzionato potrebbe aggiungere un JAR dannoso a un file MSI firmato da un'azienda come Microsoft o Google. Il file risultante potrebbe quindi essere rinominato con l'estensione .jar, avere ancora una firma valida secondo Microsoft Windows. Ciò che è piuttosto curioso è che Microsoft ha riconosciuto i risultati di Quintero ma si è rifiutata di affrontare il problema quando è stato segnalato per la prima volta, come visibile dal ricercatore post originale di 2019.
Quintero non è l'unico ricercatore che ha sollevato preoccupazioni sulla vulnerabilità, mentre altri lo seguirono rapidamente con risultati separati di attacchi malware che abusavano del problema.
La semplice domanda è perché Microsoft ha dovuto aspettare due anni prima di correggere correttamente il CVE-2020-1464 sfruttato attivamente.
Non è la prima volta che Microsoft rifiuta di applicare una patch a zero-day
Questo non è il primo caso di tale portata, quando Microsoft è stata troppo riluttante ad affrontare i bug critici zero-day in Windows. Dai un'occhiata alle storie collegate di seguito:
- Microsoft non riesce a Patch Zero-Day Bug in Windows SymCrypt (Giugno 2019)
- Microsoft si rifiuta di Patch exploit zero-day in Internet Explorer (Aprile 2019)
- Due Difetti Zero-Day in Edge e Internet Explorer rimangono senza patch (Aprile 2019)