I ricercatori di sicurezza hanno scoperto una nuova vulnerabilità che permetterebbe di eseguire codice malevolo bypassando la protezione di Windows.
14 DICEMBRE 2022 | Come segnalato dal ricercatore di sicurezza che l’ha scoperta, Microsoft sembrerebbe essere riuscita a correggere definitivamente la falla classificata come CVE-2022-44698 con il rilascio delle patch di sicurezza congiuntamente all’aggiornamento cumulativo di novembre – maggiori dettagli in quest’altro articolo.
The corrupt-Authenticode-signature bypass for SmartScreen/MotW is now fixed as CVE-2022-44698.https://t.co/JgSisotzg7
— Will Dormann (@wdormann) December 13, 2022
21 NOVEMBRE 2022 | Stando a nuovi report, sembrerebbe che, nonostante la patch ufficiale rilasciata da Microsoft a inizio novembre, alcune campagne malware starebbero ancora sfruttando la vulnerabilità utilizzando file container firmati scaricati da internet in grado di aggirare le protezioni MoTW di Windows 10 e 11. Microsoft dovrebbe chiudere questa falla con l’aggiornamento cumulativo di dicembre.
“Good artists copy, great artists steal.”
Looks like #Qakbot is using the exact same signature used in the latest #maginbar ransomware campaign.Abusing an unpatched vulnerability used to bypass #MOTW
FYI – @wdormann @stoerchl https://t.co/ilVorbe3Ex— Arnold Osipov (@osipov_ar) November 17, 2022
9 NOVEMBRE 2022 | Dopo la denuncia dei ricercatori di sicurezza, Microsoft è corsa ai ripari e ha corretto la grave falla CVE-2022-41091 in grado di bypassare i sistemi di protezione di Windows con il rilascio delle patch di sicurezza congiuntamente all’aggiornamento cumulativo di novembre – maggiori dettagli in quest’altro articolo.
Patch per la falla dei sistemi di sicurezza
Una nuova vulnerabilità 0-day sfrutta l’aggiramento degli avvisi di sicurezza Mark-of-the-Web sulle versioni più recenti del sistema operativo Microsoft, compreso Windows 11. Nello specifico, Windows include una funzionalità denominata MoTW, che avverte dei possibili rischi all’apertura di un file scaricato dal web perché potenzialmente dannoso. I ricercatori di sicurezza hanno scoperto che tale flag sui file scaricati dal web viene inspiegabilmente ignorata quando è abilitata la protezione SmartScreen, anche se firmati con chiavi non valide, creando un’enorme falla di sicurezza.
Why does Windows 8.1 not have the behavior where a corrupt signature skips the MotW prompting?
Windows 10 and newer MotW prompting is sort of intermingled with SmartScreen by default.
If you turn off "Check apps and files", you'll get behavior more like earlier Windows versions. pic.twitter.com/T6k3xNKOFY— Will Dormann (@wdormann) October 20, 2022
Al momento è possibile risolvere facilmente il problema di sicurezza disattivando momentaneamente la protezione SmartScreen. Non è chiaro perché i sistemi operativi precedenti come Windows 8.1 risultino protetti mentre con l’introduzione di SmartScreen su Windows 10 e 11 qualcuno abbia dimenticato di bloccare l’esecuzione di file firmati scaricati dal web.
Fortunatamente il team di 0patch ha rilasciato una patch non ufficiale per correggere la vulnerabilità 0-day. Non è chiaro se Microsoft correggerà ufficialmente la falla o se semplicemente la lascerà scoperta.
Free Micropatches For Bypassing MotW Security Warning with Invalid Signature (0day) https://t.co/jitrfgiv6K pic.twitter.com/dEKP68npRl
— 0patch (@0patch) October 28, 2022
Cosa ne pensate di questa vulnerabilità scoperta? Fatecelo sapere nei commenti.
Articolo di Windows Blog Italia
Fonti | 1, 2