Один из патчей, вошедший в состав августовского «вторника обновлений», устранил уязвимость CVE-2020-1464, которая позволяла преобразовывать файлы MSI во вредоносные исполняемые файлы Java, сохраняя при этом легитимную цифровую подпись. В сущности, проблема позволяла атакующему обойти защитные механизмы и загрузить неправильно подписанные файлы.

На этой неделе эксперты из компаний Zengo и SafeBreach Labs напомнили, что эту уязвимость вряд ли можно назвать новой, так как проблема была обнаружена еще два года тому назад. Более того, изначально представители Microsoft заявляли, что не будут исправлять данный баг.

Как выяснилось, еще в январе 2019 года специалист VirusTotal Бернардо Куинтеро (Bernardo Quintero) публично рассказал о том, как в 2018 году он нашел вредоносный исполняемый файл Java с легитимной цифровой подписью, который был загружен и распознавался сервисом VirusTotal Monitor.

Изучив найденный файл, эксперт пришел к выводу, что малварь представляет собой файл MSI с добавленным к нему Java JAR. Как можно увидеть на скриншоте ниже, хотя файл MSI был изменен и переименован в файл JAR, Windows по-прежнему считала, что он подписан действительным сертификатом Google.

После изучения файла Куинтеро немедленно сообщил о нем специалистам Microsoft (это произошло 18 августа 2018 года), но исследователю ответили, что заниматься исправлением недостатка компания не планирует.

«Данный вектор атаки протестирован на последних и обновленных версиях Windows 10 и Java, доступных на момент написания статьи (Windows 10 версии 1809 и Java SE Runtime Environment 8 Update 191). Microsoft решила, что не будет устранять эту проблему в текущих версиях Windows и дала разрешение рассказать об этом случае и наших выводах в блоге», — писал Куинтеро в 2019 году.

Теперь, после выхода патча для CVE-2020-1464, Windows более не считает файлы MSI подписанными, если те были изменены путем добавления JAR. Ниже можно увидеть, как реагирует на такие файлы Windows 10 1909 (слева) и новая Windows 10 2004 (справа) ниже.

Фото: Bleeping Computer

Неизвестно, почему на исправление этой проблемы у Microsoft ушло два года, а имя Бернардо Куинтеро не упоминается в отчете компании. Представители Microsoft ситуацию не комментируют.

Оставить мнение