Hackare utnyttjar ett fel som Microsoft fixade för 9 år sedan

Hackare utnyttjar ett fel som Microsoft fixade för 9 år sedan

Den mycket använda malware ZLoader dyker upp i alla typer av kriminell hackning, från försök som syftar till att stjäla banklösenord och annan känslig data till ransomware-attacker. Nu har en ZLoader-kampanj som började i november infekterat nästan 2 200 offer i 111 länder genom att missbruka ett Windows-fel som Microsoft åtgärdade redan 2013.

Hackare har länge använt en mängd olika taktiker för att smyga Zloader förbi verktyg för upptäckt av skadlig programvara. I det här fallet, enligt forskare vid säkerhetsföretaget Check Point, utnyttjade angriparna en lucka i Microsofts signaturverifiering, integritetskontrollen för att säkerställa att en fil är legitim och pålitlig. Först skulle de lura offren att installera ett legitimt IT-hanteringsverktyg på avstånd som heter Atera för att få åtkomst och enhetskontroll; den delen är inte särskilt överraskande eller ny. Därifrån behövde dock hackarna fortfarande installera ZLoader utan att Windows Defender eller någon annan skanning av skadlig programvara upptäckte eller blockerade den.

Det var här den nästan decennium gamla bristen kom väl till pass. Angripare kan modifiera en legitim “Dynamic-link library”-fil – en gemensam fil som delas mellan flera delar av programvara för att ladda kod – för att plantera deras skadliga program. Mål-DLL-filen är digitalt signerad av Microsoft, vilket bevisar dess äkthet. Men angripare kunde obemärkt lägga till ett skadligt skript till filen utan att påverka Microsofts godkännandestämpel.

“När du ser en fil som en DLL som är signerad är du ganska säker på att du kan lita på den, men det här visar att det inte alltid är fallet”, säger Kobi Eisenkraft, en malware-forskare på Check Point. “Jag tror att vi kommer att se mer av den här attackmetoden.”

Microsoft kallar sin kodsigneringsprocess “Authenticode”. Den släppte en fix 2013 som gjorde Authenticods signaturverifiering strängare, för att flagga filer som hade manipulerats subtilt på detta sätt. Ursprungligen skulle patchen skickas till alla Windows-användare, men i juli 2014 reviderade Microsoft sin plan, vilket gjorde uppdateringen valfri.

“När vi arbetade med kunder för att anpassa oss till den här förändringen, bestämde vi oss för att påverkan på befintlig programvara kan bli hög”, skrev företaget 2014, vilket innebar att korrigeringen orsakade falska positiva resultat där legitima filer flaggades som potentiellt skadliga. “Därför planerar Microsoft inte längre att genomdriva det striktare verifieringsbeteendet som ett standardkrav. Den underliggande funktionen för striktare verifiering finns dock kvar och kan aktiveras efter kundens gottfinnande.”

I ett uttalande på onsdagen betonade Microsoft att användare kan skydda sig med fixen som företaget släppte 2013. Och företaget noterade att, som Check Point-forskarna observerade i ZLoader-kampanjen, kan sårbarheten endast utnyttjas om en enhet redan har har äventyrats eller angripare lurar offren direkt att köra en av de manipulerade filerna som verkar vara signerade. “Kunder som tillämpar uppdateringen och aktiverar konfigurationen som anges i säkerhetsrådgivningen kommer att skyddas,” sa en talesperson för Microsoft till WIRED.

Men även om korrigeringen finns där ute, och har funnits under hela den här tiden, har många Windows-enheter förmodligen inte den aktiverad, eftersom användare och systemadministratörer skulle behöva veta om patchen och sedan välja att ställa in den. Microsoft noterade 2013 att sårbarheten aktivt utnyttjades av hackare i “riktade attacker”.

För alla de senaste tekniknyheterna klicka här

För de senaste nyheterna och uppdateringarna, följ oss på Google Nyheter.

Läs originalartikeln här

Förnekande av ansvar! NewsUpdate är en automatisk aggregator runt globala media. Allt innehåll är tillgängligt gratis på Internet. Vi har just ordnat det i en plattform endast för utbildningsändamål. I varje innehåll anges hyperlänken till den primära källan. Alla varumärken tillhör deras rättmätiga ägare, allt material till deras upphovsmän. Om du är ägare till innehållet och inte vill att vi ska publicera ditt material på vår webbplats, vänligen kontakta oss per mejla – [email protected]. Innehållet kommer att raderas inom 24 timmar.