Día cero de Windows permite usar archivos JavaScript para evadir advertencias de seguridad
Un nuevo día cero de Windows permite a los ciberdelincuentes usar archivos JavaScript independientes maliciosos para eludir las advertencias de seguridad de Mark-of-the-Web. Los atacantes ya están usando la vulnerabilidad de día cero (zero-day) en ataques de ransomware.
Windows incluye una función de seguridad llamada Mark-of-the-Web (MoTW) que marca un archivo como descargado de Internet y, por lo tanto, debe tratarse con precaución ya que podría ser malicioso.
El indicador MoTW se agrega a un archivo descargado o adjunto de correo electrónico como un flujo de datos alternativo especial llamado ‘Zone.Identifier‘. Este se puede ver usando el comando ‘dir /R‘ y se abre directamente en el Bloc de notas, como se muestra a continuación.
Este flujo de datos alternativo ‘Zone.Identifier‘ incluye de qué zona de seguridad URL proviene el archivo (tres equivale a Internet), la referencia y la URL del archivo.
Cuando un usuario intenta abrir un archivo con el indicador Mark-of-the-Web, Windows muestra una advertencia de que el archivo debe tratarse con precaución.
“Si bien los archivos de Internet pueden ser útiles, este tipo de archivo puede dañar potencialmente tu computadora. Si no confías en la fuente, no abras este software”.
Advertencia de Windows
Microsoft Office también utiliza el indicador MoTW para determinar si el archivo debe abrirse en Vista protegida, lo que hace que se deshabiliten las macros.
Windows MoTW pasa por alto la vulnerabilidad de día cero
El equipo de inteligencia de amenazas de HP informó recientemente que los atacantes están infectando dispositivos con el ransomware Magniber usando archivos JavaScript .
Para ser específicos, no estamos hablando de archivos JavaScript que se usan comúnmente en casi todos los sitios web, sino de archivos .JS distribuidos por ciberdelincuentes como archivos adjuntos o descargas que pueden ejecutarse fuera de un navegador web.
Los archivos JavaScript vistos distribuidos por los ciberdelincuentes de Magniber están firmados digitalmente mediante un bloque de firma codificado en base64 incorporado. Tal como se describe en este artículo de soporte de Microsoft.
Will Dormann, analista senior de vulnerabilidades de ANALYGENCE, analizó uno de estos archivos. Él descubrió que los atacantes firmaron estos archivos con una clave deformada.
Cuando se firmó de esta manera, aunque el archivo JS se descargó de Internet y recibió un indicador de MoTW, Microsoft no mostró la advertencia de seguridad y el script se ejecuta automáticamente para instalar el ransomware Magniber.
Dormann probó aún más el uso de esta firma deformada en archivos JavaScript y pudo crear archivos JavaScript de prueba de concepto (PoC). Estos archivos pueden pasar por alto la advertencia de MoTW.
Ambos archivos JavaScript (.JS) fueron compartidos. Y, como puedes ver a continuación, ambos recibieron un indicador Mark-of-the-Web, como lo indican los cuadros rojos, cuando se descargaron de un sitio web.
La diferencia entre los dos archivos es que uno está firmado con la misma clave deformada de los archivos de Magniber y el otro no contiene ninguna firma.
Firma
Cuando se abre el archivo sin firmar en Windows 10, se muestra correctamente una advertencia de seguridad de MoTW.
Sin embargo, al hacer doble clic en ‘calc-othersig.js‘, que está firmado con una clave deformada, Windows no muestra una advertencia de seguridad. Windows simplemente ejecuta el código JavaScript, como se muestra a continuación.
Con esta técnica, los ciberdelincuentes pueden evadir las advertencias de seguridad normales que se muestran al abrir archivos JS descargados y ejecutar automáticamente el script.
Pudimos reproducir la vulnerabilidad en Windows 10. Sin embargo, para Windows 11, la vulnerabilidad solo se activaría al ejecutar el archivo JS directamente desde un archivo.
Dormann dijo que cree que este error se introdujo por primera vez con el lanzamiento de Windows 10, ya que un dispositivo con Windows 8.1 completamente parcheado muestra la advertencia de seguridad de MoTW como se esperaba.
Según Dormann, la vulnerabilidad proviene de la nueva función SmartScreen ‘Comprobar aplicaciones y archivos’ de Windows 10 en Seguridad de Windows > Control de aplicaciones y navegadores > Configuración de protección basada en la reputación.
“Este problema se encuentra en la nueva función SmartScreen de Windows 10. Y al deshabilitar “Comprobar aplicaciones y archivos”, Windows vuelve al comportamiento heredado, donde las indicaciones de MotW no están relacionadas con las firmas de Authenticode”.
“Desafortunadamente, toda esa configuración es actualmente una compensación. Por un lado, escanea los malos que se descargan”.
“Por otro lado, los malos que se aprovechan de esta vulnerabilidad pueden obtener un comportamiento MENOS SEGURO de Windows en comparación con cuando la función está deshabilitada”.
Dormann
La vulnerabilidad de día cero es particularmente preocupante, ya que sabemos que los ciberdelincuentes la están explotando activamente en ataques de ransomware.
Dormann compartió la prueba de concepto con Microsoft, quien dijo que no podían reproducir la evasión de advertencia de seguridad de MoTW.
Sin embargo, Microsoft afirma a diversos medios que están al tanto del problema informado y lo están investigando.
Explotación
Después de los hallazgos, Dormann dijo que los ciberdelincuentes podrían modificar cualquier archivo firmado con Authenticode, incluidos los ejecutables (.EXE). Esto para eludir las advertencias de seguridad de MoTW.
Para hacerlo, Dormann dice que un ejecutable firmado puede modificarse usando un editor hexadecimal para cambiar algunos de los bytes en la parte de la firma del archivo y así corromper la firma.
Una vez que la firma está dañada, Windows no verificará el archivo con SmartScreen, como si no hubiera un indicador de MoTW, y permitirá que se ejecute.
“Los archivos que tienen un MotW se tratan como si no hubiera MotW si la firma está dañada. La diferencia en el mundo real depende del tipo de archivo que sea”.
