A vulnerabilidade CVE-2020-1464 fazia parte do 120 falhas de segurança abordadas em Patch de agosto, terça-feira. Esta vulnerabilidade se destaca principalmente por ter sido ativamente exposta em ataques maliciosos por pelo menos dois anos antes que a Microsoft a corrigisse.
O que é CVE-2020-1464?
De acordo com a descrição oficial fornecida pela Microsoft, o problema é uma vulnerabilidade de falsificação desencadeada pela maneira incorreta como o Windows valida assinaturas de arquivo. No caso de uma exploração bem-sucedida, o invasor pode ignorar recursos de segurança e carregar arquivos assinados incorretamente.
A correção que foi lançada na Patch Tuesday deste mês, corrige a maneira como o Windows valida assinaturas de arquivo.
De acordo com Brian Krebs, ataques baseados em CVE-2020-1464 foram observados pela primeira vez há dois anos, em agosto 2018, quando vários pesquisadores entraram em contato com a Microsoft informando-os sobre o problema. Contudo, não há menção disso no comunicado da Microsoft, embora a empresa reconheça que o bug foi explorado ativamente em ataques.
Em uma postagem de blog dedicada à vulnerabilidade, Brian Krebs compartilha o seguinte:
Bernardo Quintero é o gerente da VirusTotal, um serviço de propriedade do Google que verifica todos os arquivos enviados em dezenas de serviços antivírus e exibe os resultados. Em janeiro. 15, 2019, Quintero publicou uma postagem de blog descrevendo como o Windows mantém a assinatura Authenticode válida após anexar qualquer conteúdo ao final dos arquivos do Windows Installer (aqueles que terminam em .MSI) assinado por qualquer desenvolvedor de software.
De acordo com Quintero, esta vulnerabilidade pode ser muito perigosa se um invasor usar para ocultar arquivos Java maliciosos (.jarra). Este vetor de ataque foi de fato detectado em uma amostra de malware compartilhada com o VirusTotal.
Isso significa que um invasor pode anexar um JAR malicioso a um arquivo MSI assinado por uma empresa como a Microsoft ou o Google. O arquivo resultante pode ser renomeado com a extensão .jar, ainda tendo uma assinatura válida de acordo com o Microsoft Windows. O que é bastante curioso é que a Microsoft reconheceu as descobertas de Quintero, mas se recusou a resolver o problema quando foi relatado pela primeira vez, tão visível pelo pesquisador postagem original de 2019.
Quintero não é o único pesquisador que levantou preocupações sobre a vulnerabilidade, enquanto outros o seguiram rapidamente com descobertas separadas de ataques de malware abusando do problema.
A pergunta simples é por que a Microsoft teve que esperar dois anos antes de corrigir adequadamente o CVE-2020-1464 explorado ativamente.
Não é a primeira vez que a Microsoft se recusa a corrigir um dia zero
Este não é o primeiro caso de tal magnitude, quando a Microsoft tem sido muito relutante em lidar com bugs críticos de dia zero no Windows. Basta dar uma olhada nas histórias com links abaixo:
- Microsoft não consegue patch Zero-Day Bug no Windows SymCrypt (Junho 2019)
- Microsoft se recusa a patch Zero-Day Exploit no Internet Explorer (abril 2019)
- Falhas do Dia Zero Dois em Edge e Internet Explorer Permanecer Unpatched (abril 2019)