Один из патчей, вошедший в состав августовского «вторника обновлений», устранил уязвимость
, которая позволяла преобразовывать файлы MSI во вредоносные исполняемые файлы Java, сохраняя при этом легитимную цифровую подпись. В сущности, проблема позволяла атакующему обойти защитные механизмы и загрузить неправильно подписанные файлы.
На этой неделе эксперты из компаний Zengo и SafeBreach Labs , что эту уязвимость вряд ли можно назвать новой, так как проблема была обнаружена еще два года тому назад. Более того, изначально представители Microsoft заявляли, что не будут исправлять данный баг.
Как выяснилось, еще в январе 2019 года специалист VirusTotal Бернардо Куинтеро (Bernardo Quintero) о том, как в 2018 году он нашел вредоносный исполняемый файл Java с легитимной цифровой подписью, который был загружен и распознавался сервисом VirusTotal Monitor.
Изучив найденный файл, эксперт пришел к выводу, что малварь представляет собой файл MSI с добавленным к нему Java JAR. Как можно увидеть на скриншоте ниже, хотя файл MSI был изменен и переименован в файл JAR, Windows по-прежнему считала, что он подписан действительным сертификатом Google.
После изучения файла Куинтеро немедленно сообщил о нем специалистам Microsoft (это произошло 18 августа 2018 года), но исследователю ответили, что заниматься исправлением недостатка компания не планирует.
Фото: Bleeping Computer
Неизвестно, почему на исправление этой проблемы у Microsoft ушло два года, а имя Бернардо Куинтеро не упоминается в отчете компании. Представители Microsoft ситуацию не комментируют.
На этой неделе эксперты из компаний Zengo и SafeBreach Labs , что эту уязвимость вряд ли можно назвать новой, так как проблема была обнаружена еще два года тому назад. Более того, изначально представители Microsoft заявляли, что не будут исправлять данный баг.
Как выяснилось, еще в январе 2019 года специалист VirusTotal Бернардо Куинтеро (Bernardo Quintero) о том, как в 2018 году он нашел вредоносный исполняемый файл Java с легитимной цифровой подписью, который был загружен и распознавался сервисом VirusTotal Monitor.
Изучив найденный файл, эксперт пришел к выводу, что малварь представляет собой файл MSI с добавленным к нему Java JAR. Как можно увидеть на скриншоте ниже, хотя файл MSI был изменен и переименован в файл JAR, Windows по-прежнему считала, что он подписан действительным сертификатом Google.
После изучения файла Куинтеро немедленно сообщил о нем специалистам Microsoft (это произошло 18 августа 2018 года), но исследователю ответили, что заниматься исправлением недостатка компания не планирует.
Теперь, после выхода патча для CVE-2020-1464, Windows более не считает файлы MSI подписанными, если те были изменены путем добавления JAR. Ниже можно увидеть, как реагирует на такие файлы Windows 10 1909 (слева) и новая Windows 10 2004 (справа) ниже.
Фото: Bleeping Computer
Неизвестно, почему на исправление этой проблемы у Microsoft ушло два года, а имя Бернардо Куинтеро не упоминается в отчете компании. Представители Microsoft ситуацию не комментируют.
