Malware może oszukać Windows i zgłosić się jako certyfikowane przez firmę Microsoft

22 stycznia, 2020

W drugi wtorek miesiąca, zgodnie z harmonogramem aktualizacji produktów firmy Microsoft (Microsoft Patch Tuesday), systemy Windows zostały zaktualizowane m.in. o opisaną podatność przez National Security Agency (NSA). Lukę CVE-2020-0601 w zabezpieczeniach biblioteki Windows CryptoAPI (crypt32.dll) nazwano CurveBall lub ChainOfFools od implementacji krzywej eliptycznej. Luka ta dotyczy większości wersji systemów Windows 10, Windows Server 2016 i 2019. Pełna lista podatnych na atak systemów znajduje się na blogu Microsoft.

Fałszowanie certyfikatów nigdy nie było tak łatwe

Zbiorcza aktualizacja usuwa 50 różnego rodzaju podatności w Windows, ale przede wszystkim lukę CVE-2020-0601, która została odkryta przez NSA i ujawniona dzień po oficjalnym zakończeniu wsparcia dla Windows 7. Firma z Redmond przypomina, że od 14 stycznia 2020 nie będą wydawane żadne aktualizacje zabezpieczeń dla Windows 7. Oznacza to, że w sytuacji wykrycia luki w systemie, Microsoft nie udostępni odpowiednich poprawek, i tym samym użytkownicy będą narażeni na ataki ze strony cyberprzestępców. Co prawda, w przeszłości zdarzały się sytuacje, w których Microsoft udostępniał aktualizacje dla niewspieranych już systemów, ale były to wyjątki, a nie czynności wykonywane na porządku dziennym.

CVE-2020-0601 (CurveBall lub ChainOfFools) to luka w mechanizmie sprawdzania poprawności certyfikatów

CVE-2020-0601 nazwane też jako CurveBall lub ChainOfFools, polega na sprawdzaniu poprawności certyfikatów Elliptic Curve Cryptography (ECC) w systemie Windows za pomocą CryptoAPI (Crypt32.dll).

Podatność pozwala na sfałszowanie certyfikatu i podpisanie aplikacji. Oznacza to, że ​​złośliwe oprogramowanie może być postrzegane przez rozwiązania ochronne, a nawet sam system Windows, jako pochodzące z zaufanego źródła. Wiąże się to z poważnymi konsekwencjami, a nawet pozwala na wykonanie ataków typu man-in-the-middle — deszyfrowanie poufnych informacji przesyłanych przez serwer WWW, jeżeli przestępcy uda się przygotować kampanię ze złośliwą stroną internetową TLS/HTTPS.

Ze względu na powagę problemu społeczność zajmująca się bezpieczeństwem włożyła wiele trudu w ciągu ostatnich kilku dni, aby pokazać konsekwencje udanego ataku. Okazało się, że luka w zabezpieczeniach jest bardzo łatwa do wykorzystania i istnieje już kilka publicznych implementacji złośliwego kodu (PoC), który może być użyty do fałszowania certyfikatów.

Zgodnie z oczekiwaniami ekspertów, po opublikowaniu publicznych exploitów, zaczęły pojawiać się pierwsze próbki szkodliwego oprogramowania ze sfałszowanymi certyfikatami Microsoft. Kilka z nich zostało przesłanych do VirusTotal.

CurveBall. Podpis próbki ransomware wysłanego do usługi VirusTotal wydaje się być poprawnie podpisanym plikiem Microsoft.

Środki zaradcze to przede wszystkim aktualizacja Windows

Luka CurveBall aka ChainOfFools jest bardzo poważna, ponieważ podpisane pliki są często uważane za „zaufane” przez produkty bezpieczeństwa. Umożliwia to hakerom oszukiwanie rozwiązań ochronnych. Dodatkowo fakt istnienia publicznego exploitu zwiększa prawdopodobieństwo użycia ów techniki manipulowania złośliwym oprogramowaniem w systemach Windows 10, w wersjach domowych, jak i korporacyjnych.

Udowodniono już publicznie, że wykorzystanie tego problemu umożliwia przechwytywanie, modyfikację i deszyfrowanie ruchu TLS/HTTPS przez osoby atakujące.

Organizacje oraz użytkownicy indywidualni muszą zdawać sobie sprawę z konsekwencji celowego opóźniania aktualizacji systemów operacyjnych. Podatność może być użyta do zainfekowania środowiska roboczego, w tym do ukrycia szkodliwego oprogramowania pod postacią zaufaną dla Windows i niektórych rozwiązań chroniących punkty końcowe.

W podobnych, poważnych incydentach, pierwszorzędną rolę może odgrywać przeszkolenie pracowników z zakresu socjotechniki (nie dopuszczenie do ataku na poziomie personalnym), a także szczegółowy monitoring wszystkich obszarów systemu operacyjnego przy pomocy renomowanego produktu bezpieczeństwa. To bardzo ważne, aby zabezpieczać stacje robocze na poziomie hosta oraz sieci, ponieważ haker może przygotować spreparowaną stronę internetową i przeprowadzać w ten sposób ataki na organizację.

Sprawdzenie podatności systemu Windows: http://testcve.kudelskisecurity.com

Więcej informacji technicznych oraz zagadnień związanych z krzywymi eliptycznymi:

  • https://www.fortinet.com/blog/threat-research/curveball-exploit-making-rounds.html
  • https://fortiguard.com/encyclopedia/ips/48661
  • https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
  • https://blog.cloudflare.com/a-relatively-easy-to-understand-primer-on-elliptic-curve-cryptography
  • https://blog.zeek.org/2020/01/detecting-cve-2020-0601-with-zeek.html
  • https://research.kudelskisecurity.com/2020/01/15/cve-2020-0601-the-chainoffools-attack-explained-with-poc
  • https://modernciso.com/2020/01/16/security-advisory-multiple-critical-vulnerabilities-on-windows-systems

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]