Windows の MoTW ゼロデイ脆弱性:Magniber ランサムウェアを 0Patch が阻止する?

Actively exploited Windows MoTW zero-day gets unofficial patch

2022/10/30 BleepingComputer — Windows 10/11 の積極的に悪用されているゼロデイに対して、無料の非公式パッチがリリースされた。この脆弱性は、不正に署名されたファイルが、Mark-of-the-Web セキュリティ警告を回避するというものだ。先週末に BleepingComputer は、スタンドアロンの JavaScript ファイルを悪用する脅威アクターが、被害者のデバイスに Magniber ランサムウェアをインストールしていることを報告した。

ユーザーがインターネットからファイルをダウンロードすると、Microsoft は対象となるファイルに Mark-of-the-Web フラグを追加し、そのファイルを起動したときに、OS により以下のセキュリティ警告が表示される。

Windows Mark-of-the-Web security warning
Windows Mark-of-the-Web のセキュリティ警告
Source: BleepingComputer

Magniber ランサムウェアの JavaScript ファイルの特徴は、Mark-of-a-Web を含んでいても、起動時に Windows によるセキュリティ警告が表示されないことだ。ANALYGENCE の Senior Vulnerability Analyst である Will Dormann が分析した結果、この JavaScript ファイルは、不正な署名を使ってデジタル署名されていることが判明した。

このような不正な署名を持つ、悪意のファイルが開かれると、Microsoft SmartScreen によるフラグが立てられ、セキュリティ警告が表示されるはずだが、Windows は自動的にプログラムの実行を許可してしまう。以下の画像は、不正な署名を持つファイル “calc-othersig.js” において、Mark-the-Web セキュリティ警告の回避が、この脆弱性により可能になることを実証している。

Demonstration of the Windows zero-day bypassing security warnings
Windows のゼロデイによるセキュリティ警告の回避のデモンストレーション
Source: BleepingComputer

非公式の無償パッチが公開された

このゼロデイ脆弱性は、ランサムウェア攻撃で活発に悪用されているため、マイクロパッチ・サービスである 0Patch が非公式修正プログラムを公開し、Microsoft が公式のセキュリティ更新プログラムをリリースするまでの間、使用できるようにしている。

0Patch 共同設立者である Mitja Kolsek は、同社のブログ記事で、「この脆弱性は、Windows SmartScreen がファイル内の不正な署名を解析できないことに原因がある。SmartScreen が署名を解析できない場合に、Windows はエラーを表示するのではなく、誤ってプログラムの実行を許可してしまう」と説明している。

Kolsek は、「Patrick と Will が発見した不正な署名により、署名を解析できない場合に SmartScreen.exe が例外を発生させ、結果として SmartScreen がエラーを返すことがあった。これは、現在では “実行“ を意味することが分かっている」と説明している。

さらに、彼は、自分たちのパッチが攻撃シナリオの大部分を修正しているとはいえ、パッチがバイパスされる状況もあり得ると警告しており、「我々のパッチは最も明白な脆弱性を修正するものだが、その有用性は、対象アプリケーションが shdocvw.dll の関数 DoSafeOpenPromptForShellExe を使ってファイルを開くことに依存し、他のメカニズムは考慮できていない。Windows に、そのような仕組みがあるとは思えないが、技術的には存在する可能性がある」と説明している。

Microsoft が、この脆弱性に対処する公式アップデートをリリースするまで、以下の影響を受ける Windows バージョンに対して、0Patch が無償パッチを開発している。

  1. Windows 11 v21H2
  2. Windows 10 v21H2
  3. Windows 10 v21H1
  4. Windows 10 v20H2
  5. Windows 10 v2004
  6. Windows 10 v1909
  7. Windows 10 v1903
  8. Windows 10 v1809
  9. Windows 10 v1803
  10. Windows Server 2022
  11. Windows Server 2019 

Windows デバイスにマイクロパッチをインストールするには、無料の 0Patch アカウントを登録し、そのエージェントをインストールする必要がある。エージェントがインストールされると、ブロックするカスタムパッチ・ポリシーがない場合に、システムの再起動を必要とせずにパッチが自動的に適用される。以下のビデオで、0Patch の Windows マイクロパッチが実際に適用されている様子を確認できる。

Mark-of-the-Web に関しては、MoTW で検索していただけると、いくつかの記事が出てきますので、そちらをご参照ください。なお、最近の 0Patch ですが、調べてみたら、6月6日の「Windows のゼロデイ脆弱性 Follina:フィッシング攻撃で積極的に悪用されている」や、6月9日の「Windows の新たな脆弱性 DogWalk を検出:Follina と同様に MSDT に影響する」、7月5日の「Windows Server と NTLM リレー攻撃:脆弱性 ShadowCoerce は密かに修正されたのか?」などで出動していました。なかなかユニークなビジネス・モデルを確立していますね。

%d bloggers like this: