{"id":274329,"date":"2022-10-27T00:10:00","date_gmt":"2022-10-26T22:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=274329"},"modified":"2022-11-07T08:06:22","modified_gmt":"2022-11-07T07:06:22","slug":"exploited-windows-0-day-mark-of-the-web-per-javascript-fr-ransomware-angriffe-genutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/27\/exploited-windows-0-day-mark-of-the-web-per-javascript-fr-ransomware-angriffe-genutzt\/","title":{"rendered":"Windows (Mark of the Web) 0-day per JavaScript für Ransomware-Angriffe genutzt"},"content":{"rendered":"

\"Windows\"[English<\/a>]Die Tage hatte ich \u00fcber eine ungefixte 0-day-Schwachstelle, Mark of the Web (MOTOW), in Windows berichtet, f\u00fcr die es einen inoffiziellen Fix gibt. Nun ist mir ein Bericht unter die Augen gekommen, dass eine 0-day-Schwachstelle in diesem Bereich von Cyberkriminellen per JavaScript ausgenutzt werden kann, um Web-Sicherheitswarnungen zu umgehen und Ransomware-Angriffe zu verschleiern. Hintergrund ist, dass ein Bug in Windows 10 bei einer ung\u00fcltigen digitalen Signatur verhindert, dass der SmartScreen-Filter von Windows anschl\u00e4gt.<\/p>\n

<\/p>\n

Worum geht es bei MOTW?<\/h2>\n

\"\"Windows kann eine Sicherheitswarnung anzeigen, bevor eine ausf\u00fchrbare Datei, die aus dem Internet heruntergeladen wurde, ge\u00f6ffnet und gestartet wird. Dies funktioniert nur bei Dateien, bei denen das Mark of the Web (MOTW) Flag gesetzt ist. Die Schutzfunktion Smart App Control<\/a> wertet beispielsweise dieses Flag aus und soll in Windows 11 einen besseren Schutz vor neuen und aufkommenden Bedrohungen bieten, indem b\u00f6sartige oder nicht vertrauensw\u00fcrdige Apps blockiert werden. Smart App Control soll auch dabei helfen, potenziell unerw\u00fcnschte Apps zu blockieren. Hierbei handelt es sich um Apps, die dazu f\u00fchren k\u00f6nnen, dass Ihr Ger\u00e4t langsam l\u00e4uft, unerwartete Werbung angezeigt wird, zus\u00e4tzliche Software angeboten wird, die vom Nutzer nicht erw\u00fcnscht ist. Auch Microsoft Office blockiert Makros in Dokumenten mit MOTW (Quelle<\/a>).<\/p>\n

Bug verhindert setzen des MOTW-Flag<\/h2>\n

Angreifer versuchen daher zu vermeiden, dass ihre b\u00f6sartigen Dateien mit MOTW markiert werden. Ein Bug in Windows erm\u00f6glicht es Angreifern, ein ZIP-Archiv so zu erstellen, dass extrahierte b\u00f6sartige Dateien nicht mit MOTW markiert werden. Der Sicherheitsforscher Will Dormann ist im Mai 2022 auf diese Schwachstelle in Windows gesto\u00dfen<\/a>.<\/p>\n

\"ZIP<\/a><\/p>\n

Diese Schwachstelle erm\u00f6glicht es einem Angreifer, Windows daran zu hindern, die Markierung \"Mark of the Web\" f\u00fcr Dateien zu setzen, die aus einem ZIP-Archiv extrahiert wurden. Das gilt selbst f\u00fcr den Fall, dass die ZIP-Archiv aus einer nicht vertrauensw\u00fcrdigen Quelle wie dem Internet, einer E-Mail oder von einem USB-Stick stammt. Damit werden Microsofts sch\u00f6ne Sicherheitsl\u00f6sungen unwirksam.<\/p>\n

Will hat Microsoft im Juli \u00fcber dieses Problem informiert, aber eine offizielle L\u00f6sung wurde noch nicht bereitgestellt. In der Zwischenzeit wird die Sicherheitsl\u00fccke offenbar in freier Wildbahn ausgenutzt<\/a>. Bisher gibt es aber keinen Patch und nicht mal eine CVE-Kennung daf\u00fcr. Im Blog-Beitrag Windows: 0Patch Micropatch f\u00fcr MOTOW-ZIP-File-Bug (0-day, kein CVE)<\/a> hatte ich aber berichtet, dass ACROS Security f\u00fcr Windows einen kostenlosen Micropatch bereitstellt, um die Ausnutzbarkeit der Schwachstelle zu blockieren.<\/p>\n

Neuer Angriff auf 0-day per JavaScript<\/h2>\n

Aber es scheint noch einen weiteren Bug in Windows zu geben, der selbst bei gesetztem Mark of the Web-Flag die Warnung vor Dateien aus dem Internet verhindert. Die Kollegen von Bleeping Computer haben in diesem Artikel<\/a> das Thema aufgegriffen und\u00a0 weisen auf die M\u00f6glichkeit hin, dass Bedrohungsakteure die Schwachstelle \u00fcber JavaScript-Dateien ausnutzen k\u00f6nnen, um die Mark-of-the-Web-Sicherheitswarnungen zu umgehen. Das HP Threat Intelligence Team hat k\u00fcrzlich berichtet, dass Bedrohungsakteure Systeme mit Magniber Ransomware \u00fcber JavaScript-Dateien (JS-Dateien) infizieren. Die betreffenden JS-Dateien sind sogar mit einem eingebetteten base64-kodierten Signaturblock digital signiert (der Microsoft-Supportartikel<\/a> beschreibt das).<\/p>\n

\"MotW<\/a><\/p>\n

Will Dormann hat ein solches Beispiel analysiert<\/a> und einen unsch\u00f6nen Fund gemacht. Die Authenticode-Signatur war sowohl ung\u00fcltig als auch f\u00fcr andere Inhalte bestimmt. Trotzdem zeigten unter Windows 10 weder der SmartScreen noch andere Mechanismen Warnungen an, bevor die JS-Datei ausgef\u00fchrt wurde. In den analysierten F\u00e4llen war das MotW sogar vorhanden. Dormann beschreibt seine Erkenntnisse in einer Reihe von Tweets – und die Kollegen von Bleeping Computer haben das Ganze in ihrem Artikel<\/a> aufbereitet.<\/p>\n

Der Knackpunkt: Ist eine Signatur besch\u00e4digt, pr\u00fcft Windows die Datei nicht mehr per SmartScreen. Es ist so, als ob kein MoTW-Flag vorhanden w\u00e4re. Die Datei wird einfach ohne Warnung ausgef\u00fchrt – das klappt sogar per .exe-Datei. \"Dateien, die eine MotW haben, werden so behandelt, als ob keine MotW vorhanden w\u00e4re, wenn die Signatur besch\u00e4digt ist. Welchen Unterschied das in der Praxis macht, h\u00e4ngt davon ab, um welchen Dateityp es sich handelt\", erkl\u00e4rt Dormann gegen\u00fcber den Kollegen von Bleeping Computer.<\/p>\n

Gegen\u00fcber Bleeping Computer gab Dormann an, dass er glaubt, dass dieser Fehler erst mit der Ver\u00f6ffentlichung von Windows 10 eingef\u00fchrt wurde, da ein vollst\u00e4ndig gepatchtes Windows 8.1-Ger\u00e4t die MoTW-Sicherheitswarnung wie erwartet anzeigt. Der Fall zeigt wieder einmal exemplarisch, wie all die netten Sicherheitsfeatures, die Microsoft in seinen Produkten integriert, nichts nutzen, wenn Angreifer diese \u00fcber Bugs umgehen k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Tage hatte ich \u00fcber eine ungefixte 0-day-Schwachstelle, Mark of the Web (MOTOW), in Windows berichtet, f\u00fcr die es einen inoffiziellen Fix gibt. Nun ist mir ein Bericht unter die Augen gekommen, dass eine 0-day-Schwachstelle in diesem Bereich von Cyberkriminellen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-274329","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274329","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=274329"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274329\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=274329"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=274329"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=274329"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}