Printre cele 120 bug-uri Windows 10 remediate cu ultima actualizare distribuită prin serviciul Windows Update începând cu data de 11 august s-a numărat și o vulnerabilitate de tio 0-day, folosită în ultimii doi ani pentru a falsifica semnătura digitală atribuită dezvoltatorilor de aplicații Windows.
Facilitate pusă la dispoziția dezvoltatorilor de aplicații, semnarea fișierelor executabile pe baza unui certificat digital de securitate este un mecanism de securitate foarte important al platformei Windows, verificarea ulterioară a semnăturii digitale evidențiind eventuale coruperi de fișiere sau alterare intenționată a codului aplicației.
Evidențiată încă din luna august 2018 ca fiind la originea unor atacuri informatice, vulnerabilitatea etichetată CVE-2020-1464 pare că a fost neglijată de Microsoft, compania ignorând în mod repetat rapoartele primite din partea unor surse independente.
Detaliată într-o postare apărută pe blogul VirusTotal, un serviciu deținut de Google care scanează fișiere trimise spre verificare comparându-le împotriva a zeci de motoare antivirus, vulnerabilitatea poate fi exploatată pentru a ascunde un fișier Java (.jar) infectat fără ca semnătura digitală a aplicației să fie alterată. Mai exact, Windows păstrează în mod eronat semnătura Authenticode valabilă și după ce este adăugat conținut suplimentar la sfârșitul fișierelor Windows Installer (cele care se termină în .MSI).
„Un atacator poate adăuga un JAR rău intenționat la un fișier MSI semnat de un dezvoltator software de încredere (cum ar fi Microsoft Corporation, Google Inc. sau orice alt dezvoltator cunoscut), iar fișierul rezultat poate fi redenumit cu extensia .jar. și va avea o semnătură valabilă în conformitate cu Microsoft Windows ”, a scris managerul VirusTotal, Bernardo Quintero. „Microsoft a decis că nu va rezolva această problemă în versiunile actuale de Windows și a consimțit publicarea dezvăluirilor noastre pe blog”.
Solicitați să comenteze de ce au așteptat doi ani să corecteze o vulnerabilitate care a fost exploatată în mod activ pentru a compromite securitatea computerelor Windows, reprezentanții Microsoft au evitat întrebarea, precizând doar că utilizatorii Windows care au aplicat cele mai recente actualizări de securitate sunt protejați de acest atac.
„O actualizare de securitate a fost lansată în august”, a declarat Microsoft într-o declarație scrisă trimisă la KrebsOnSecurity. „Clienții care aplică actualizarea sau au activări automate, vor fi protejați. Încurajăm în continuare clienții să activeze actualizări automate pentru a asigura că sunt protejați. ”