Falha de spoofing do Windows ativamente explorada é corrigida dois anos após a divulgação
A vulnerabilidade de spoofing do Windows ativamente explorada corrigida na semana passada pela Microsoft é conhecida há mais de dois anos, apontaram os pesquisadores.
As atualizações da Patch Tuesday de agosto de 2020 da Microsoft abordaram 120 vulnerabilidades, incluindo um Internet Explorer zero-day que foi encadeado com uma falha do Windows em ataques ligados ao ator de ameaça chamado DarkHotel, e um problema de falsificação do Windows rastreado como CVE-2020-1464.
O gigante da tecnologia descreve o CVE-2020-1464 como uma falha de spoofing relacionada ao Windows validar assinaturas de arquivo incorretamente. Um invasor pode explorar a vulnerabilidade para contornar os recursos de segurança e carregar arquivos assinados incorretamente, afirma a Microsoft em seu comunicado.
Os pesquisadores analisaram o CVE-2020-1464 depois que a Microsoft lançou seu patch e perceberam que é provavelmente uma vulnerabilidade que é conhecida há anos e que a Microsoft se recusa a consertar.
Em uma postagem de blog publicada no fim de semana, o pesquisador Tal Be’ery explicou que a vulnerabilidade, que se chama GlueBall, é conhecida desde agosto de 2018, quando uma amostra de arquivo explorando-a foi enviada ao VirusTotal.
A Microsoft foi informada sobre o problema na época e os detalhes foram divulgados no blog do VirusTotal em janeiro de 2019, mas o fornecedor decidiu não corrigi-lo.
“O Microsoft Windows mantém a assinatura Authenticode válida após anexar qualquer conteúdo ao final dos arquivos do Windows Installer (.MSI) assinados por qualquer desenvolvedor de software. Esse comportamento pode ser explorado por invasores para contornar algumas soluções de segurança que dependem da assinatura de código do Microsoft Windows para decidir se os arquivos são confiáveis. O cenário é especialmente perigoso quando o código anexado é um JAR malicioso porque o arquivo resultante tem uma assinatura válida de acordo com o Microsoft Windows e o malware pode ser executado diretamente pelo Java ”, explicou Bernardo Quintero, fundador do VirusTotal, na postagem do blog de janeiro de 2019 .
Logo após a publicação da postagem no blog, vários outros analisaram o problema e divulgaram suas descobertas. Em junho de 2020, os pesquisadores notaram que alguém estava explorando o GlueBall para entregar malware e, em agosto, ele foi finalmente corrigido pela Microsoft.
“[A] maneira como a Microsoft lidou com o relatório de vulnerabilidade parece bastante estranha”, observou Be’ery. “Ficou muito claro para todos os envolvidos, incluindo a Microsoft, que o GlueBall é de fato uma vulnerabilidade válida explorada em estado selvagem. Portanto, não está claro por que ele só foi corrigido agora e não há dois anos. ”
A SecurityWeek entrou em contato com a Microsoft, mas a empresa não forneceu nenhum esclarecimento sobre sua decisão de não corrigir o CVE-2020-1464 antes.
“Uma atualização de segurança foi lançada em agosto. Os clientes que aplicarem a atualização, ou tiverem as atualizações automáticas habilitadas, estarão protegidos. Continuamos a incentivar os clientes a ativar as atualizações automáticas para ajudar a garantir que estejam protegidos ”, disse um porta-voz da Microsoft.