Este día cero de Microsoft permite colocar malware en archivos ISO
Windows ha corregido una vulnerabilidad que impedía que los indicadores de Mark of the Web se propagaran a los archivos dentro de los archivos ISO descargados. La corrección supuso un duro golpe para los distribuidores y desarrolladores de malware.
Para aquellos que no están familiarizados con Mark of the Web (MoTW), es una función de seguridad de Windows. Esta función identifica los archivos que se originan en Internet para que el sistema operativo y las aplicaciones instaladas los etiqueten como sospechosos.
El indicador MoTW se agrega a los archivos como un flujo de datos alternativo llamado 'Zone.Identifier'.
Este incluye de qué zona de seguridad de URL proviene el archivo, la referencia y la URL del archivo.
Los flujos de datos alternativos son un atributo de archivo NTFS que se puede ver con una herramienta especializada o con el comando ‘dir /R
‘ en el símbolo del sistema y se puede abrir directamente en el Bloc de notas, como se muestra a continuación.
Al intentar abrir un archivo con el indicador Mark of the Web, Windows mostrará una advertencia de seguridad que indica que el archivo debe tratarse con precaución.
“Si bien los archivos de Internet pueden ser útiles, este tipo de archivo puede dañar potencialmente tu computadora. Si no confías en la fuente, no abras este software”, se lee en la advertencia de Windows.
Microsoft Office también usa el indicador MoTW para determinar si el archivo debe abrirse en Vista protegida, lo que hace que se muestre una advertencia y que se deshabiliten los macros.
Microsoft corrige dia cero Mark of the Web en ISOs
Como parte de las actualizaciones del martes de parches de noviembre , Microsoft corrigió numerosas vulnerabilidades que permitían a los ciberdelincuentes crear archivos que pueden eludir la función de seguridad Mark of the Web.
En las actualizaciones se incluyó una solución inesperada para un error del que los ciberdelincuentes abusan comúnmente en las campañas de phishing.
Según Bill Demirkapi, ingeniero del equipo de Mitigaciones y Vulnerabilidades de Microsoft MSRC, se solucionó un error que impedía que el indicador MoTW se propagara a archivos dentro de una imagen de disco ISO.
Durante algún tiempo, los ciberdelincuentes han estado distribuyendo imágenes de disco ISO como archivos adjuntos en campañas de phishing para infectar objetivos con malware.
Desde Windows 8, es posible abrir un archivo ISO haciendo doble clic en él, Esto hace que Windows lo monte como una unidad de DVD con una nueva letra de unidad.
Advertencia
Si bien un archivo ISO descargado o adjunto contendrá Mark of the Web y emitirá una advertencia cuando se abra, la vulnerabilidad provoca que el indicador MoTW no se propague a los tipos de archivos que no son de Microsoft Office, como los accesos directos de Windows (archivos LNK).
Por lo tanto, si un usuario abre un archivo adjunto ISO y hace doble clic en el archivo LNK adjunto, se ejecutará automáticamente sin que Windows muestre una advertencia de seguridad, como se muestra a continuación.
Después de instalar las actualizaciones de seguridad del martes de parches de noviembre para CVE-2022-41091 , Windows ahora propagará el indicador Mark of the Web desde el archivo ISO a todo su contenido. En otras palabras, mostrará correctamente una advertencia de seguridad al iniciar el archivo LNK.
Se corrigieron otros dos errores de MoTW
Además de corregir la propagación de MoTW en archivos ISO, las actualizaciones de noviembre también corrigieron dos vulnerabilidades de MoTW descubiertas e informadas por Will Dormann. Will Dormann es analista senior de vulnerabilidades en ANALYGENCE. Es importante destacar que una de las vulnerabilidades está siendo explotada activamente en el entorno por ciberdelincuentes
La primera vulnerabilidad hace que Windows SmartScreen falle en Windows 11 22H2 y omita las advertencias de Mark of the Web al abrir archivos directamente desde archivos ZIP.
La segunda vulnerabilidad, denominada ‘ZippyReads’, puede explotarse simplemente creando un archivo ZIP que contenga un archivo de solo lectura. Cuando este archivo se abre en el Explorador de Windows, el indicador MoTW no se propaga al archivo de solo lectura y omite las advertencias de seguridad.
Ambas vulnerabilidades se corrigieron como parte de las actualizaciones de seguridad de Windows de noviembre para CVE-2022-41049 .
Sin embargo, otra vulnerabilidad que encontró Dormann sigue sin corregirse, lo que permite que los archivos JavaScript independientes pasen por alto las advertencias de MoTW y ejecuten automáticamente el script si el archivo está firmado con una firma mal formada.
Como los ciberdelincuentes que distribuyen el ransomware Magniber están explotando activamente esta vulnerabilidad, es probable que pronto veamos una solución.
Otras vulnerabilidades corregidas
Por si no lo sabes, el martes de parches de noviembre de este año, Microsoft corrigió seis vulnerabilidades de Windows explotadas activamente en el entorno y un total de 68 vulnerabilidades.
Once de las 68 vulnerabilidades corregidas en dicha actualización se clasifican como “Críticas”. Esto porque permiten la elevación de privilegios, la suplantación de identidad o la ejecución remota de código, uno de los tipos de vulnerabilidades más graves.
El número de vulnerabilidades en cada categoría de vulnerabilidad las puedes ver a continuación:
- 27 Vulnerabilidades de elevación de privilegios
- 4 Vulnerabilidades de omisión de funciones de seguridad
- 16 vulnerabilidades de ejecución remota de código
- 11 Vulnerabilidades de divulgación de información
- 6 Vulnerabilidades de denegación de servicio
- 3 vulnerabilidades de suplantación de identidad
Los recuentos anteriores no incluyen dos vulnerabilidades de OpenSSL reveladas el 2 de noviembre.
Además, tal como lo dijimos anteriormente, el martes de parches de este mes corrigió seis vulnerabilidades de día cero explotadas activamente.
Recordemos que Microsoft clasifica una vulnerabilidad como día cero si se divulga públicamente o se explota activamente sin una solución oficial disponible.