微软Windows保护用户防范恶意文件的方式中存在一个安全漏洞,在上周之前的两年里,恶意软件攻击一直在积极利用该漏洞进行攻击,微软终于发布了软件更新来纠正这个问题。
微软在8月11日周二的补丁中修复了120个安全漏洞,其中之一是CVE-2020-1464,这是每个受支持的Windows版本验证计算机程序数字签名的方式存在的一个问题。
代码签名是使用基于证书的数字签名对可执行文件和脚本进行签名的方法,以验证作者的身份,并确保代码自作者签名以来未被更改或损坏。
微软表示,攻击者可以利用此“欺骗漏洞”绕过旨在防止加载签名不当的文件的安全功能。微软的建议没有提到安全研究人员已经将该漏洞告知了该公司,微软承认该漏洞正在被积极利用。
事实上,CVE-2020-1464在2018年8月首次在野外使用的攻击中被发现。在过去的18个月里,几位研究人员向微软通报了这一弱点。
贝尔纳多·昆特罗(Bernardo Quintero)是VirusTotal的经理,VirusTotal是谷歌(Google)旗下的一项服务,它会根据数十种反病毒服务扫描任何提交的文件,并显示结果。2019年1月15日,Quintero发布了一篇博客文章,概述了Windows如何在由任何软件开发商签名的Windows Installer文件(以.msi结尾的文件)末尾添加任何内容后,保持Authenticode签名有效。
Quintero说,如果攻击者利用它来隐藏恶意Java文件(.jar),这个漏洞将特别严重。他说,在发送给VirusTotal的恶意软件样本中确实检测到了准确的攻击媒介。
“简而言之,攻击者可以将恶意JAR附加到由可信软件开发商(如Microsoft Corporation、Google Inc.)签名的MSI文件中。或任何其他知名开发人员),生成的文件可以使用.jar扩展名重命名,并且将具有符合Microsoft Windows的有效签名,“Quintero写道。
但根据昆特罗的说法,虽然微软的安全团队证实了他的发现,但该公司当时选择不解决这个问题。
“微软已经决定不会在当前版本的Windows中修复这个问题,并同意我们可以公开发表关于这个案例和我们的发现的博客,”他的博客文章总结道。
周日,Zengo创始人Tal Be‘ery和SafeBReach实验室高级安全研究员Peleg Hadar发表了一篇博客文章,指出2018年8月上传到VirusTotal的一个文件滥用了这个被称为胶球的欺骗漏洞。自2018年8月VirusTotal上一次扫描文件(2020年8月14日)以来,59个反病毒程序中有28个检测到了它是恶意Java特洛伊木马程序。
最近,其他人也同样会呼吁人们注意滥用安全漏洞的恶意软件,包括2020年6月发表的这篇来自Security-in-Bits博客的帖子。
贝里说,微软处理漏洞报告的方式似乎相当奇怪。
他写道:“包括微软在内的所有参与其中的人都非常清楚,胶球确实是一个在野外被利用的有效漏洞。”“因此,不清楚为什么现在才打补丁,而不是两年前.”
当被问及为什么等了两年才修补一个被积极利用来危及Windows电脑安全的漏洞时,微软回避了这个问题,称应用了最新安全更新的Windows用户受到了保护,不会受到这种攻击。
微软在发给KrebsOnSecurity的一份书面声明中表示:“8月份发布了安全更新。”“应用更新或启用自动更新的客户将受到保护。我们继续鼓励客户开启自动更新功能,以帮助确保他们受到保护。“
更新时间:上午12:45。ET:更正了2020年6月博客文章中关于胶球在野外的利用的归属。