• ГлавнаяНовостиНовостиНовости, 202008Новости, 202008 → Microsoft исправила дыру в Windows, о которой знала два года

    Microsoft исправила дыру в Windows, о которой знала два года

    Уязвимость, позволявшая модифицировать MSI-файлы без потери ими цифровой подписи, устранена через два года после первого зарегистрированного случая ее эксплуатации.

    КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента


  • Группы: ВК | FB | Tw | OK
  • Anketka - Мнения, за которые платят деньги.

    LovePlanet - Соцсеть знакомств для веб-мастеров.

    Biglion - Сила коллективных покупок.

    admitad - Сайт партнерских программ и рекламы.

    Miralinks - Рекламная кампания размещения статей для продвижения социальных сетей и сайтов.

    Liex - Биржа статей и ссылок в социальных сетях.

    GoGetLinks - Система размещения платных обзоров со ссылками в социальных сетях и сайтах.

    GetGoodLinks - Ссылки в социальных сетях и сайтах для размещения навсегда.

    Sape - Деньги на привлечении вебмастеров и оптимизаторов.

    Skrill - Сервис перевода денег.

    CPAzilla - Программа заработка на сайтах знакомств.

    1PS - Регистрация сайта в каталогах.

    Link - Реклама на сайтах.

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}input[type=email],textarea{border-radius:3px;border:1px solid grey;margin:2px;width: 96%;}/*Обратная связь и подписка - кнопки*/ .buttons{background:#e0ffff;color:#dc143c;font-weight:700;border:1.5px solid black;border-radius: 4px;transition: 0.4s;}.buttons:hover {background-color: #4CAF50;color: white;box-shadow: 0 12px 16px 0 rgba(0,0,0,0.24), 0 17px 50px 0 rgba(0,0,0,0.19);cursor: pointer;}

Давнее дело

Microsoft в рамках последнего обновления для Windows выпустила исправления для неприятной уязвимости, из-за которой система некорректно считывала сертификаты безопасности у инсталляционных файлов MSI (для обновлений Windows). Баг CVE-2020-1464 приводит к тому, что MSI-файл можно значительно модифицировать (вплоть до полной подмены содержимого), однако его цифровая подпись останется неизменной и, следовательно, у злоумышленников появляется возможность запускать такой файл под видом легитимного.

Эксперт по кибербезопасности Тал Бэри (Tal Be'ery) из фирмы Zengo и его коллега Пелег Хадар (Peleg Hadar) из SafeBreachLabs утверждают, что это тот же самый баг, о котором Microsoft уведомили еще два года назад. Тогда разработчик Windows отказался выпускать какие-либо исправления для него.

Слон плохой, справка хороший

История выглядела следующим образом. Во второй половине 2018 г. на VirusTotal был загружен некий подозрительный инсталлятор под Windows. Изучив его, сотрудник VirusTotal Бернардо Квинтеро (Bernardo Quintero) выяснил, что это файл в формате MSI, к которому добавлен еще и файл JAR (архив Java). Как пишет Bleeping Computer, у файла даже расширение было заменено на JAR, однако Windows по-прежнему рассматривала его как легитимный инсталлятор с цифровой подписью Google.

Microsoft исправила уязвимость, о которой ее уведомили два года назад

Файлы с цифровыми подписями пользуются повышенным доверием у операционных систем, к тому же некоторые защитные решения ориентируются на наличие или отсутствие легитимных цифровых подписей. Таким образом, у злоумышленников появляется масса возможностей обойти защитные инструменты.

Квинтеро передал всю информацию в Microsoft 18 августа 2018 г. Однако в ответ ему было заявлено, что исправлений для этой проблемы компания выпускать не планирует — во всяком случае, для актуальных версий Windows.

В итоге VirusTotal самостоятельно реализовал детектирование JAR-файлов, выдающих себя за инсталляторы Windows, и то же сделала компания SysInternal. Судя по текущему положению дел на VirusTotal, лишь 14 антивирусных движков детектируют подобное (в том числе Avast, Avira, F-Secure, Panda, а также антивирусы «Лаборатории Касперского» и Microsoft).

Спустя два года Microsoft, однако, присвоила уязвимости CVE-индекс (хотя имя Квинтеро нигде так и не упомянуто) и выпустила обновления, которые попросту удаляют цифровые подписи у модифицированных MSI-файлов, и то лишь у тех, к которым добавили архив JAR. Если к подписанному файлу инсталлятора добавить исполняемый файл EXE, его подпись остается действующей.

Комментарий Microsoft, полученный CNews, был скуп на детали. «Обновление безопасности было выпущено в августе. Пользователи, установившие обновление или включившие функцию автоматической установки обновлений, будут защищены. Мы продолжаем мотивировать клиентов включать автоматические обновления, чтобы обеспечить их защиту», — сообщили в компании.

Суть проблемы

Файлы MSI и JAR считываются по-разному: Windows читает MSI с самого начала и до конца сигнатуры MSI; все остальное игнорируется. В свою очередь, Java считывает архивы JAR с конца и до начала, и также игнорирует все остальное. В общем зачете злоумышленники получают возможность маскировать вредоносное содержимое, упакованное в JAR, легитимной подписью MSI.

«Возможно, причиной, по которой Microsoft все-таки решила исправить уязвимость, стало резкое увеличение случаев ее эксплуатации на практике, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — С июня этого года такие атаки отмечались уже несколько раз. И, учитывая простоту проблемы, довольно странно, что ее мало эксплуатировали раньше».

/*Спойлер/Accordion - для рубрик*/.accordion [type=checkbox]{display:none;}.accordion ul{list-style:none;}.accordion label{display:block;cursor:pointer;line-height:25px;background:#d95b43;border-radius:5px 10px 0 0;border:1px solid #542437;}.accordion label:hover,.accordion [type=checkbox]:checked ~ label{background:#c02942;color:#fff;}.accordion .rubcontent{height:0;transition:all .1s ease .1s;overflow:hidden;}.accordion [type=checkbox]:checked ~ .rubcontent{height:20%;border:1px solid #542437;padding:1px;}.rubcontent [type=email], .rubcontent [type=submit]{display:block;margin:0 auto;}@media (min-width:801px){/*Рубрики справа*/ .advert{font-size:85%;position:relative;margin-left:83%;margin-right:10px;z-index:5;}/*Мобильное меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202008Новости, 202008 → Microsoft исправила дыру в Windows, о которой знала два года

Apple на грани скандала со сборщиком iPhone. Сборщик обманывал «яблочную компанию» годами

Apple может сильно поссориться с компанией Foxconn, основным производителем ее электроники. Foxconn много лет подряд обманывала Apple, желая получить от нее больше денег тем или иным способом, она даже использовала ее оборудование при производстве см...

США против Google: как они дошли до такой жизни

Демонизация крупных технологических компаний входит в моду, но того, что американское правительство разорвет Google, ждать не стоит....

Обнародованы характеристики стандарта Wi-Fi 7. Скорость составит 46 Гбит/с

Рабочая группа по созданию и развитию сетевых стандартов IEEE 802.1 опубликовала финальные спецификации критериев для определения беспроводного стандарта следующего поколения 802.11be. Ожидается, что к моменту публикации финальной версии, намеченной ...

IDC: рынок облачных технологий к 2024 году вырастет до триллиона долларов

Ключевыми для цифровой трансформации предприятий стали гибридные облачные системы, считают аналитики....

Мегафон покупает онлайн-кинотеатр

«Мегафон» покупает долю в видеосервисе Start, аудитория которого превышает миллион платящих пользователей. Контрольный пакет акций сохранится за текущими акционерами и основателями, но сотовый оператор планирует вложить в сервис еще до 5 млрд руб. в ...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК | FB | Tw | OK

Рубрики | КАТАЛОГ | Новости | Контакты |