Исследователи Trend Micro сообщили, что Microsoft более 8 лет (с 2017 года) не исправляет уязвимость в настройках ярлыка. В Microsoft считают это проблемой пользовательского интерфейса, а не уязвимостью системы безопасности ОС, поэтому в компании не выставляют высокий приоритет после получения отчётов для исправления проблемы.
Оказалось, что в настройках файлов *.LNK (Shell Link или MS-SHLLINK) злоумышленники дополняют строки в поле Target тысячами пробелов, чтобы скрыть вредоносные команды. Фактически аргументы командной строки в поле Target файлов *.LNK могут привести к выполнению кода на компьютере жертвы. Такой метод атаки является низкотехнологичным, но эффективным. Примечательно, что используемые злоумышленниками ярлыки указывают на легитимные файлы или исполняемые файлы, но они также незаметно включают в себя дополнительные инструкции для извлечения или распаковки и попытки запустить вредоносный код в системе.
Обычно цель ярлыка и аргументы командной строки там чётко видны в Windows, что позволяло бы легко обнаружить подозрительные команды.
Но если дополнительные аргументы командной строки в ярлыках поле Target скрыты тысячами пробелов, то получается их спрятать очень глубоко в пользовательском интерфейсе.
«Это одна из многих ошибок в Windows, которые используют злоумышленники, но она не исправлена, и именно поэтому мы сообщили об этом как об уязвимости нулевого дня ZDI-CAN-25373. Мы сообщили Microsoft, но они считают это проблемой пользовательского интерфейса, а не проблемой безопасности. Так что это не соответствует их планке обслуживания в качестве обновления безопасности, но это может быть исправлено в более поздней версии ОС или что-то в этом роде», — рассказал глава отдела осведомления об угрозах в Zero Day Initiative Дастин Чайлдс.
Ранее исследователь по ИБ Уилл Дорманн раскритиковал работу Центра реагирования на угрозы безопасности Microsoft (MSRC) за отказ рассматривать его отчёт об уязвимости, пока белый хакер не предоставил компании подробное видео вместе с письменным объяснением обнаруженного инцидента с подтверждающими скриншотам. «Я понимаю, что дети в наши дни не могут понять ничего, что не существует в TikTok. Но MSRC не принимает чётко сформулированный отчёт об уязвимости, к которому нет соответствующего видео», — заявил Дорманн.
В MSRC заявили Дорманну: «По просьбе предоставьте чёткое видео POC (доказательство концепции) того, как эксплуатируется указанная уязвимость. Без этого мы не сможем добиться никакого прогресса. Это будет высоко оценено». Разочарованный требованием Microsoft, в котором, по словам Дормана, должно показываться только ввод нескольких команд, которые уже были изображены им на скриншотах, и нажатие Enter в CMD, аналитик создал пятнадцатиминутное видео, напичканное сторонним контентом. В ролике также присутствует энергичная фоновая музыка в стиле техно, которая тратит время рецензента примерно на 14 минут бездействия (ниже видео обрезано).
ссылка на оригинал статьи https://habr.com/ru/articles/892330/
Добавить комментарий