De kwetsbaarheid van CVE-2020-1464 maakte deel uit van de 120 beveiligingsfouten verholpen in Patch dinsdag van augustus. Dit beveiligingslek valt vooral op omdat het gedurende ten minste twee jaar actief werd geëxposeerd in kwaadaardige aanvallen voordat Microsoft het repareerde.
Wat is CVE-2020-1464?
Volgens de officiële beschrijving van Microsoft, het probleem is een beveiligingslek met betrekking tot spoofing dat wordt veroorzaakt door de onjuiste manier waarop Windows bestandshandtekeningen valideert. In geval van een succesvolle exploit, de aanvaller kan beveiligingsfuncties omzeilen en onjuist ondertekende bestanden laden.
De oplossing die werd uitgebracht in de Patch Tuesday van deze maand, corrigeert de manier waarop Windows bestandshandtekeningen valideert.
Volgens Brian Krebs, aanvallen op basis van CVE-2020-1464 werden twee jaar geleden voor het eerst waargenomen, in augustus 2018, toen verschillende onderzoekers contact opnamen met Microsoft om hen over het probleem te informeren. Echter, dit wordt niet vermeld in het advies van Microsoft, hoewel het bedrijf erkende dat de bug actief werd uitgebuit bij aanvallen.
In een blogpost gewijd aan de kwetsbaarheid, Brian Krebs deelt het volgende:
Bernardo Quintero is de manager bij VirusTotal, een service die eigendom is van Google en die alle ingediende bestanden scant op tientallen antivirusservices en de resultaten weergeeft. op jan. 15, 2019, Quintero heeft een blogpost gepubliceerd waarin wordt uiteengezet hoe Windows de Authenticode-handtekening geldig houdt na het toevoegen van inhoud aan het einde van Windows Installer-bestanden (die eindigen op .MSI) ondertekend door een softwareontwikkelaar.
Volgens Quintero, dit beveiligingslek kan erg gevaarlijk zijn als een aanvaller schadelijke Java-bestanden zou verbergen (.pot). Deze aanvalsvector werd in feite gedetecteerd in een malwaremonster dat werd gedeeld met VirusTotal.
Dit betekent dat een aanvaller een kwaadaardige JAR kan toevoegen aan een MSI-bestand dat is ondertekend door een bedrijf zoals Microsoft of Google. Het resulterende bestand kan vervolgens worden hernoemd met de extensie .jar, nog steeds een geldige handtekening hebben volgens Microsoft Windows. Wat nogal merkwaardig is, is dat Microsoft de bevindingen van Quintero erkende, maar weigerde het probleem aan te pakken toen het voor het eerst werd gemeld, zoals zichtbaar voor de onderzoeker origineel bericht van 2019.
Quintero is niet de enige onderzoeker die zorgen heeft geuit over de kwetsbaarheid, terwijl anderen hem snel volgden met afzonderlijke bevindingen van malwareaanvallen die het probleem misbruikten.
De simpele vraag is waarom Microsoft twee jaar moest wachten voordat hij de actief uitgebuite CVE-2020-1464 naar behoren kon patchen.
Niet de eerste keer dat Microsoft weigert een Zero-Day te patchen
Dit is niet het eerste geval van een dergelijke omvang, wanneer Microsoft te terughoudend is geweest om kritieke zero-day-bugs in Windows aan te pakken. Kijk maar eens naar de onderstaande verhalen:
- Microsoft mislukt Patch Zero-Day Bug in Windows SymCrypt (Juni 2019)
- Microsoft weigert Patch Zero-day exploit in Internet Explorer (April 2019)
- Two Zero-Day gebreken in Edge en Internet Explorer Remain Unpatched (April 2019)