Hacsak nem tesz meg mindent, hogy telepítse a javítást, a rendszere veszélynek lehet kitéve.  ZLoader széles körben használt rosszindulatú program többféle bűnözői hackelésben is felbukkan, a banki jelszavak és egyéb érzékeny adatok ellopására irányuló erőfeszítésektől a ransomware támadásokig. A novemberben kezdődött ZLoader kampány 111 országban közel 2200 áldozatot fertőzött meg azzal, hogy visszaélt egy Windows hibával, amelyet a Microsoft 2013-ban kijavított.

A hackerek már régóta különböző taktikákat használnak a Zloader múltbeli rosszindulatú programok észlelési eszközeinek becsempészésére. Ebben az esetben a Check Point biztonsági cég kutatói szerint a támadók kihasználták a Microsoft aláírás-ellenőrzésének rését, az integritás ellenőrzését annak biztosítására, hogy a fájl legitim és megbízható legyen. Először is becsapták az áldozatokat, hogy telepítsenek egy törvényes távoli IT-kezelő eszközt, az Atera-t, hogy hozzáférjenek és eszközvezérlést szerezzenek; bár ez a rész nem különösebben meglepő vagy újszerű. Innen azonban a hackereknek még mindig telepíteniük kellett a ZLoader-t anélkül, hogy a Windows Defender vagy más rosszindulatú program szkenner észlelte vagy blokkolta volna.

Itt jött jól a közel egy évtizedes hiba. A támadók módosíthatják a legitim "Dinamikus kapcsolat könyvtár" fájlt – egy közös fájlt, amely több szoftver között oszlik meg a kód betöltéséhez –, hogy elhelyezzék a rosszindulatú programjukat. A cél DLL fájlt a Microsoft digitálisan írja alá, ami bizonyítja hitelességét. A támadók azonban észrevétlenül hozzáfűztek egy rosszindulatú szkriptet a fájlhoz anélkül, hogy befolyásolták volna a Microsoft jóváhagyási pecsétjét.

"Amikor egy aláírt DLL-hez hasonló fájlt látsz, biztos vagy benne, hogy bízhatsz benne, de ez azt mutatja, hogy ez nem mindig van így" – mondja

Kobi Eisenkraft, a Check Point malware kutatója. "Azt hiszem, többet fogunk látni ebből a támadási módszerből."

A Microsoft a kódaláírási folyamatot "Authenticode"-nak nevezi. 2013-ban kiadott egy javítást, amely szigorította az Authenticode aláírás-ellenőrzését, hogy megjelölje az ily módon finoman manipulált fájlokat. Eredetileg a javítást minden Windows-felhasználóhoz eljuttatták volna, de 2014 júliusában a Microsoft felülvizsgálta tervét, így a frissítést opcionálissá tette.

"Ahogy az ügyfelekkel együtt dolgoztunk, hogy alkalmazkodjunk ehhez a változáshoz, megállapítottuk, hogy a meglévő szoftverekre gyakorolt hatás magas lehet" - írta 2014-ben a vállalat, ami azt jelenti, hogy a javítás hamis pozitív eredményeket okozott, ahol a legitim fájlokat potenciálisan rosszindulatúnak jelölték meg. „Ezért a Microsoft a továbbiakban nem tervezi a szigorúbb ellenőrzési magatartás érvényesítését alapértelmezett követelményként. A szigorúbb ellenőrzést szolgáló alapvető funkciók azonban továbbra is érvényben maradnak, és az ügyfél saját belátása szerint engedélyezhető.”

A Microsoft szerdai közleményében hangsúlyozta, hogy a felhasználók megvédhetik magukat a vállalat által 2013-ban kiadott javítással. És a vállalat megjegyezte, hogy amint azt a Check Point kutatói megfigyelték a ZLoader kampányban, a biztonsági rést csak akkor lehet kihasználni, ha egy eszköz már veszélybe került, vagy a támadók közvetlenül becsapják az áldozatokat az aláírásnak tűnő manipulált fájlok egyikének futtatására. "Azok az ügyfelek, akik alkalmazzák a frissítést, és engedélyezik a biztonsági tanácsadóban feltüntetett konfigurációt, védve lesznek" - mondta a Microsoft szóvivője a WIRED-nek.

Bár a javítás már elérhető, és mindeddig megvan, sok Windows-eszközön valószínűleg nincs engedélyezve, mivel a felhasználóknak és a rendszergazdáknak tudniuk kell a javításról, majd dönteniük kell, hogy beállítják. A Microsoft 2013-ban megjegyezte, hogy a sebezhetőséget a hackerek „célzott támadások” során aktívan kihasználták.

"Van egy javításunk, de senki sem használja" - mondja Eisenkraft. Ennek eredményeként sok rosszindulatú program képes lenne bejutni a vállalatokba és a személyi számítógépekbe ezzel a módszerrel.

A ZLoader legutóbbi támadásai elsősorban az Egyesült Államokban, Kanadában és Indiában történt áldozatokat célozták meg. A ZLoader más közelmúltbeli támadásai számos szereplőtől rosszindulatú szövegszerkesztő dokumentumokat, szennyezett webhelyeket és rosszindulatú hirdetéseket használtak a rosszindulatú programok terjesztésére.

A Check Point kutatói úgy vélik, hogy ezt a legutóbbi kampányt a MalSmoke néven ismert bűnöző hackerek követték el, mivel a csoport már korábban is használt hasonló technikákat és a kutatók láttak néhány infrastrukturális kapcsolatot a kampány és a korábbi MalSmoke hackelés között. A MalSmoke gyakran különös figyelmet fordított a rosszindulatú értékekre, különösen a pornót és más felnőtt tartalmakat terjesztő webhelyek és szolgáltatások hirdetéseinek eltérítésére. A csoport a ZLoader-t használta a korábbi kampányokban, valamint más rosszindulatú programokban, beleértve a népszerű rosszindulatú letöltőt, a "Smoke Loader" -et.

Nem ismeretlen, hogy a sebezhetőségek sok éven át fennállnak a szoftverekben, de amikor felfedezik ezeket a hibákat, hosszú élettartamuk általában azt jelenti, hogy számos eszközben rejtőznek. Az sem szokatlan, hogy egyes modulok, különösen az internetes eszközök, még akkor is javítatlanok maradnak, ha egy adott biztonsági rés javítása rendelkezésre áll. Ez a kampány azonban egy nehéz forgatókönyvet képvisel, amely ellen védekezni lehet: egy olyan sérülékenységet, amelynek javítása annyira homályos, hogy kevesen tudnák alkalmazni.


https://www.wired.com/story/zloader-microsoft-signature-verification-hack/