ช่องโหว่ Zero-day ตัวใหม่บน Windows ช่วยให้ผู้โจมตีสามารถใช้ไฟล์ JavaScript ที่เป็นอันตราย เพื่อ bypass คำเตือนด้านความปลอดภัยของ Windows ที่เรียกว่า Mark-of-the-Web ได้ ซึ่งผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการโจมตีด้วยแรนซัมแวร์ได้
ฟีเจอร์ที่เรียกว่า Mark-of-the-Web (MoTW) ของ Windows จะทำการระบุค่าสถานะของไฟล์ว่าถูกดาวน์โหลดมาจากอินเทอร์เน็ต ดังนั้นควรระมัดระวัง เนื่องจากอาจเป็นอันตรายได้
MoTW จะถูกเพิ่มลงในไฟล์ที่ถูกดาวน์โหลดมาจากอินเทอร์เน็ต หรือจากไฟล์แนบในอีเมล ที่เรียกว่า 'Zone.Identifier' ซึ่งสามารถดูได้โดยใช้คำสั่ง 'dir /R' และเปิดได้โดยตรงใน Notepad
The Mark-of-the-Web alternate data stream
'Zone.Identifier' นี้จะระบุข้อมูล URL security zone (เลข 3 ตามภาพด้านบนคือมาจากอินเทอร์เน็ต), referrer และ URL ไปยังไฟล์
เมื่อผู้ใช้พยายามเปิดไฟล์ที่มี Mark-of-the-Web Windows ระบบจะแสดงคำเตือนว่าไฟล์ควรได้รับความระมัดระวัง
โดย Microsoft Office ก็ใช้ MoTW เพื่อกำหนดว่าไฟล์ควรถูกเปิดใน Protected View ซึ่งจะทำให้ macros ที่อยู่ภายในไฟล์ถูกปิดการทำงาน
MoTW บน Windows สามารถ bypass ได้ด้วยช่องโหว่ Zero-day
นักวิจัยจาก HP ได้รายงานเมื่อเร็ว ๆ นี้ว่า ผู้ไม่หวังดีกำลังโจมตีด้วย Magniber ransomware โดยการใช้ไฟล์ประเภท JavaScript โดยไฟล์ JavaScript ดังกล่าวไม่ใช่ไฟล์ในลักษณะที่ใช้กันทั่วไปในเว็บไซต์ แต่ไฟล์ .JS ที่ถูกใช้โดยผู้โจมตีเป็นไฟล์แนบ หรือไฟล์ดาวน์โหลดที่สามารถเรียกใช้นอกเว็บเบราว์เซอร์ได้ โดยไฟล์ JavaScript ที่ถูกใช้โดยกลุ่ม Magniber มี digitally signed ด้วย base64 encoded
หลังการวิเคราะห์โดย Will Dormann ผู้เชี่ยวชาญจาก ANALYGENCE พบว่าผู้โจมตี signed ไฟล์เหล่านี้ในลักษณะ malformed key
เมื่อ signed มีลักษณะแบบนี้ แม้ว่าไฟล์ JS จะถูกดาวน์โหลดจากอินเทอร์เน็ต และได้รับ MoTW Microsoft จะไม่แสดงคำเตือนด้านความปลอดภัย และสคริปต์จะยังสามารถดำเนินการติดตั้ง Magniber ransomware ได้โดยอัตโนมัติ
Dormann ได้ทดสอบการใช้ malformed signature นี้ในไฟล์ JavaScript และสามารถสร้างไฟล์ JavaScript ที่พิสูจน์ได้ว่าสามารถ bypass MoTW ของ Windows ได้
ไฟล์ JavaScript (.JS) ทั้งสองไฟล์นี้ถูกส่งให้กับ BleepingComputer และทั้งคู่ได้รับ Mark-of-the-Web เมื่อดาวน์โหลดจากเว็บไซต์
ความแตกต่างระหว่างทั้งสองไฟล์คือไฟล์หนึ่ง signed โดยใช้คีย์ที่มีรูปแบบเดียวกันจากไฟล์ Magniber และอีกไฟล์ไม่มี signature ใด ๆ เลย
เมื่อเปิดไฟล์ที่ไม่มี signature ใด ๆ เลยใน Windows 10 คำเตือนความปลอดภัยของ MoTW จะปรากฏขึ้นตามปกติ
อย่างไรก็ตามเมื่อเปิดไฟล์ 'calc-othersig.js' ซึ่ง signed ด้วยคีย์ในลักษณะ malformed key ข้างต้น Windows จะไม่แสดงคำเตือนด้านความปลอดภัย และเรียกใช้โค้ด JavaSript ขึ้นมาทำงานตามปกติ
ดังนั้นเมื่อใช้เทคนิคนี้ ผู้โจมตีจะสามารถ bypass คำเตือนความปลอดภัย ที่ปกติจะแสดงเมื่อเปิดไฟล์ JS ที่ดาวน์โหลดมาจากอินเทอร์เน็ต และเรียกใช้สคริปต์โดยอัตโนมัติ
BleepingComputer สามารถทดสอบพฤติกรรมดังกล่าวกับ Windows 10 ได้สำเร็จ อย่างไรก็ตาม สำหรับ Windows 11 ช่องโหว่จะสามารถทำงานได้ก็ต่อเมื่อ เมื่อเรียกใช้ไฟล์ JS โดยตรงจาก archive เท่านั้น
Dormann ให้ข้อมูลเพิ่มเติมกับ BleepingComputer ว่าช่องโหว่นี้จะถูกใช้ได้อย่างสมบูรณ์บน Windows 10 เนื่องจาก Windows 8.1 ที่อัปเดตแพตช์ล่าสุดแล้วจะแสดงคำเตือนด้านความปลอดภัยของ MoTW ได้ตามปกติ
ตามที่ Dormann ระบุ ช่องโหว่ดังกล่าวเกิดจากฟีเจอร์ "Check apps and files" SmartScreen บน Windows 10 ภายใต้ Windows Security > App & Browser Control > Reputation-based protection settings
"ปัญหานี้อยู่ในฟีเจอร์ SmartScreen ตัวใหม่ของ Win10 และหากปิดใช้งาน "Check apps and files" จะทำให้ Windows กลับไปเป็นการทำงานแบบเดิม โดยที่ข้อความแจ้งเตือนของ MotW จะไม่เกี่ยวข้อง Authenticode signatures" Dormann ระบุกับ BleepingComputer
"ด้วยการตั้งค่าแบบในปัจจุบันก็ยังคงจะช่วยสแกนหาไฟล์อันตรายที่ถูกดาวน์โหลดมาจากอินเทอร์เน็ตได้เป็นอย่างดีอยู่ แต่ในอีกทางหนึ่งผู้โจมตีก็อาจใช้ประโยชน์จากช่องโหว่นี้ได้ง่ายกว่าในกรณีที่ฟีเจอร์นี้ถูกปิดใช้งาน"
Dormann ได้ส่งข้อมูลเหล่านี้ให้กับทาง Microsoft แล้ว แต่ Microsoft ระบุว่าพวกเขาไม่สามารถ bypass MoTW ในแบบที่ Dormann แจ้งได้ อย่างไรก็ตาม Microsoft ระบุกับ BleepingComputer ว่าพวกเขาทราบถึงรายงานปัญหา และกำลังตรวจสอบอยู่
อัปเดต 10/22/22
Dormann ระบุกับ BleepingComputer ว่าผู้โจมตีสามารถแก้ไขไฟล์ .EXE เพื่อ bypass MoTW ได้
โดยการใช้ hex editor ในการแก้ไขข้อมูลบางส่วนใน signature portion ของไฟล์ เมื่อ signature ถูกทำให้เสียหาย Windows จะไม่ตรวจสอบไฟล์โดยใช้ SmartScreen ราวกับว่าไม่มี MoTW และจะอนุญาตให้ไฟล์สามารถทำงานได้
ที่มา: bleepingcomputer
You must be logged in to post a comment.