Microsoft поправи двегодишна уязвимост в Windows
Слабост в сигурността на Windows 10, позволяваща модифициране на инсталационни MSI файлове поправи Microsoft в последни ъпдейт на операционната система. Уязвиомостта, с индекс CVE-2020-1464, позволява пълна замяна на съдържанието на въпросните файлове със запазване на неговия дигитален подпис. С други думи злоумишленици имат възможността да изпълняват всякакъв код на компютъра на жертвата, маскирайки го като легитимен.Експертите по киберсигурност Тал Бери и Пелег Хадар от компаниите Zengo и SafeBreachLabs твърдят, че Microsoft е уведомена за пробойната преди цели две години.
През лятото на 2018 г. в агрегатора VirusTotal е качен подозрителен Windows инсталатор. Изучавайки го от там са установили, че става дума за MSI файл с добавен JAR такъв(т.е. Java архив). Според Bleeping Computer разширението на файла е било променено на .jar, но Windows е продължавала да го разпознава като легитимен инсталатор с дигитален подпис на Google.
Информацията е предадена на Microsoft на 18 август същата година. Отговорът на компанията е гласял обаче, че не се планира поправка. В резултат от VirusTotal сами са реализирали деактивиране на JAR файлове, представящи се за инсталатори. Примерът е последван от множество разработчици на антивирусни приложения.
Две години по-късно от Microsoft все пак присвояват на уязвимостта CVE индекс. След споменатия ъпдейт пък цифровите подписи просто се премахват след модифициране на MSI файлове, но само при добавяне на JAR архив. При добавяне на EXE файл, например, подписът остава, коментират от руския сайт CNews.
От там цитират експерти, с поред които завоят в поведението на Microsoft може да е свъран ръст на случаите на използване на уязвимостта. От началото на юни вече са отчетени няколко такива атаки.