Se agregó una actualización al final del artículo que explica que cualquier archivo firmado con Authenticode, incluidos los ejecutables, se puede modificar para evitar las advertencias.

Un nuevo día cero de Windows permite a los actores de amenazas usar archivos JavaScript independientes maliciosos para eludir las advertencias de seguridad de Mark-of-the-Web. Los actores de amenazas ya se ven usando el error de día cero en los ataques de ransomware.

Windows incluye una función de seguridad llamada Mark-of-the-Web (MoTW) que marca un archivo como descargado de Internet y, por lo tanto, debe tratarse con precaución ya que podría ser malicioso.

Este flujo de datos alternativo ‘Zone.Identifier’ incluye de qué  zona de seguridad URL  proviene el archivo (tres equivale a Internet), la referencia y la URL del archivo.

Cuando un usuario intenta abrir un archivo con la marca Mark-of-the-Web, Windows mostrará una advertencia de que el archivo debe tratarse con precaución.

“Si bien los archivos de Internet pueden ser útiles, este tipo de archivo puede dañar potencialmente su computadora. Si no confía en la fuente, no abra este software”, se lee en la advertencia de Windows.

Microsoft Office también utiliza el indicador MoTW para determinar si el archivo debe abrirse en Vista protegida, lo que hace que se deshabiliten las macros.

Windows MoTW pasa por alto la falla de día cero

El equipo de inteligencia de amenazas de HP informó recientemente que los actores de amenazas están infectando dispositivos con  el ransomware Magniber usando archivos JavaScript .

Para ser claros, no estamos hablando de archivos JavaScript que se usan comúnmente en casi todos los sitios web, sino de archivos .JS distribuidos por actores de amenazas como archivos adjuntos o descargas que pueden ejecutarse fuera de un navegador web.

Los archivos JavaScript vistos distribuidos por los actores de amenazas de Magniber están firmados digitalmente mediante un bloque de firma codificado en base64 incorporado, como se describe en este  artículo de soporte de Microsoft .

Después de ser analizado por  Will Dormann , analista senior de vulnerabilidades de ANALYGENCE,  descubrió  que los atacantes firmaron estos archivos con una clave mal formada.

Cuando se firmó de esta manera, aunque el archivo JS se descargó de Internet y recibió una marca de MoTW, Microsoft no mostraría la advertencia de seguridad y el script se ejecutaría automáticamente para instalar el ransomware Magniber.

Dormann probó aún más el uso de esta firma mal formada en archivos JavaScript y pudo crear archivos JavaScript de prueba de concepto que pasarían por alto la advertencia de MoTW.

Ambos archivos JavaScript (.JS) se compartieron con BleepingComputer y, como puede ver a continuación, ambos recibieron una Marca de la Web, como lo indican los cuadros rojos, cuando se descargaron de un sitio web.

La diferencia entre los dos archivos es que uno está firmado con la misma clave mal formada de los archivos de Magniber y el otro no contiene ninguna firma. 

Cuando se abre el archivo sin firmar en Windows 10, se muestra correctamente una advertencia de seguridad de MoTW.

Sin embargo, al hacer doble clic en ‘calc-othersig.js’, que está firmado con una clave mal formada, Windows no muestra una advertencia de seguridad y simplemente ejecuta el código JavaSript, como se muestra a continuación.

Con esta técnica, los actores de amenazas pueden eludir las advertencias de seguridad normales que se muestran al abrir archivos JS descargados y ejecutar automáticamente el script.

BleepingComputer pudo reproducir el error en Windows 10. Sin embargo, para Windows 11, el error solo se activaría al ejecutar el archivo JS directamente desde un archivo.

Dormann le dijo a BleepingComputer que cree que este error se introdujo por primera vez con el lanzamiento de Windows 10, ya que un dispositivo con Windows 8.1 completamente parcheado muestra la advertencia de seguridad de MoTW como se esperaba.

Según Dormann, el error proviene de la nueva función SmartScreen ‘Comprobar aplicaciones y archivos’ de Windows 10 en  Seguridad de Windows  >  Control de aplicaciones y navegadores  >  Configuración de protección basada en la reputación .

“Este problema se encuentra en la nueva función SmartScreen de Win10. Y al deshabilitar “Comprobar aplicaciones y archivos”, Windows vuelve al comportamiento heredado, donde las indicaciones de MotW no están relacionadas con las firmas de Authenticode”, dijo Dormann a BleepingComputer.

“Desafortunadamente, toda esa configuración es actualmente una compensación. Por un lado, escanea los malos que se descargan”.

“Por otro lado, los malos que se aprovechan de este error pueden obtener un comportamiento MENOS SEGURO de Windows en comparación con cuando la función está deshabilitada”.

La vulnerabilidad de día cero es particularmente preocupante, ya que sabemos que los actores de amenazas la están explotando activamente en ataques de ransomware.

Dormann compartió la prueba de concepto con Microsoft, quien dijo que no podían reproducir la omisión de advertencia de seguridad de MoTW.

Sin embargo, Microsoft le dijo a BleepingComputer que están al tanto del problema informado y lo están investigando.

Actualización 22/10/22

Después de la publicación de este artículo, Dormann le dijo a BleepingComputer que los actores de amenazas podrían modificar cualquier archivo firmado con Authenticode, incluidos los ejecutables (.EXE), para eludir las advertencias de seguridad de MoTW.

Para hacer esto, Dormann dice que un ejecutable firmado puede modificarse usando un editor hexadecimal para cambiar algunos de los bytes en la parte de la firma del archivo y así corromper la firma.

Una vez que la firma está dañada, Windows no verificará el archivo con SmartScreen, como si no hubiera un indicador de MoTW, y permitirá que se ejecute.

“Los archivos que tienen un MotW se tratan como si no hubiera MotW si la firma está dañada. La diferencia en el mundo real depende del tipo de archivo que sea”, explicó Dormann.

fuente: bleepingcomputer