Header Ads

Home / Microsoft / Notícias / windows / Uma nova ameaça de ransomware do Windows 10?Examinar reivindicações de uma vulnerabilidade 'potencialmente imparável'

Uma nova ameaça de ransomware do Windows 10?Examinar reivindicações de uma vulnerabilidade 'potencialmente imparável'

segunda-feira, dezembro 09, 2019 , ,

A empresa de segurança Nyotron anunciou recentemente que encontrou uma nova vulnerabilidade no Windows 10 da Microsoft que poderia ser usada em ataques de ransomware.A Nyotron divulgou detalhes do que chamou de técnica "potencialmente imparável" para contornar uma das proteções internas do Windows 10 contra ransomware, a prática de assumir o controle de um computador e exigir pagamento pelo retorno do controle.

Nyotron diz que a técnica, que chama de "RIPlace", pode ser usada para permitir que o ransomware ignore o "CPA (Controle de Pasta Controlada)" no Windows 10. Você pode ver a demonstração em vídeo aqui:>

Nyotron é especialista em segurança de terminais, concentrando-se nos dispositivos do usuário final e nas redes que se conectam a eles.A Nyotron não contribui regularmente com os relatórios de vulnerabilidade, mas a alegação parecia potencialmente séria e, dada a importância da segurança do endpoint, decidi dar uma olhada mais profunda, conversando com Nyotron e Microsoft para entender melhor o problema.

Em resumo, embora eu não concorde com as alegações de Nyotron de que isso é uma vulnerabilidade, a empresa encontrou um problema que as pessoas da área de segurança deveriam conhecer. Felizmente, tanto a Nyotron quanto a Microsoft concordam que isso não é algo que se vê na natureza em ataques ativos, pelo menos ainda não.

Histórico

O acesso controlado a pastas é um recurso queA Microsoft introduziu o Windows 10 em outubro de 2017. O CFA, como é conhecido, fornece uma camada adicional de segurança para arquivos normalmente direcionados para criptografia por ransomware.

O CFA faz isso adicionando monitoramento adicional para detectar tentativas decriptografar arquivos nos diretórios que está assistindo. Como a criptografia é uma técnica fundamental nos ataques de ransomware, essa é uma medida defensiva razoável que pode ser bem-sucedida na prevenção de ataques de ransomware.

A idéia por trás do CFA é simples: se você não impediu a execução de malware no sistema, digamos, porque um usuário optou por ignorar os avisos de segurança e executar um arquivo executável, o CFA pode pelo menos fornecer proteção, impedindo o que o ransomware faz: criptografar arquivos de chave.

CFAé configurável para que você possa incluir pastas de sua escolha.E o CFA possui recursos que o tornam configurável para empresas que usam a Diretiva de Grupo, o PowerShell, o System Center Configuration Manager (SCCM) e a ferramenta de gerenciamento de dispositivos móveis (MDM).

Com base na documentação da Microsoft sobre o CFA e seu comportamento, éÉ importante observar que o CFA é uma medida de "defesa em profundidade" (DiD). Isso significa que não é uma barreira de segurança primária em si, mas algo que visa fornecer proteções adicionais caso outras barreiras de segurança falhem. Você pode pensar nas medidas de DiD como algo semelhante ao cinto de segurança. Eles não foram feitos para evitar falhas. Mas eles devem tornar os acidentes menos graves quando eles acontecem.

Essa distinção entre barreira de segurança e medida de DID é importante, e voltaremos a isso em breve.

Reivindicações de Nyotron

Na demonstração de Nyotron, acima, você pode ver uma técnica que parece ignorar o Acesso controlado a pastas.A demonstração primeiro mostra um diretório protegido pelo CFA. Ele mostra que os arquivos do diretório estão sendo protegidos com êxito pelo CFA contra criptografia por malware.E então mostra outro ataque em que a proteção do CFA não é bem-sucedida e os arquivos são criptografados.

O Nyotron fornece mais detalhes em um whitepaper, incluindo este fluxograma, que ajuda a mostrar mais do que éacontecendo em segundo plano.

Este fluxograma mostra uma instância muito específica em que o CFA parece não funcionar. Especificamente, na técnica "RIPlace", o código malicioso substitui o arquivo por sua versão criptografada, em vez de excluir o arquivo primeiro. Com base em conversas com Nyotron, essa situação ocorre devido a um erro na maneira como o CFA está monitorando arquivos para protegê-los. Para entrar em detalhes técnicos, é um erro passar um caminho do DosDevice quando o DefineDosDevice é usado. DefineDosDevice é uma função herdada (lembra do DOS?).A Microsoft parece estar usando isso ao criar o driver de filtro necessário como parte da verificação e processamento extras que fazem o CFA.

Outro ponto importante do relatório da Nyotron: esse problema ocorre em cenários de conta com privilégios limitados. Em outras palavras, esse problema não requer privilégios administrativos para funcionar.

Simplificando, existe um bug no CFA que impede a proteção de arquivos de substituição.

Perguntei à Nyotron se ele tinha visto isso ser usado em ataques, e um porta-voz da empresa disse que não./ p>

Quanto à resposta oficial da Microsoft, eis o que um porta-voz disse: “Esta técnica não é um problema de segurança e não atende às condições de nossos Critérios de Serviço de Segurança.O acesso controlado às pastas é um recurso de defesa profunda e não é um limite de segurança. ”

A Microsoft indicou que procurará resolver isso em uma versão futura. Isso significa que a Microsoft concorda com os detalhes técnicos fundamentais da Nyotron, mas não vê isso como uma vulnerabilidade de segurança. Como tal, isso não atende às suas exigências para correções de curto prazo, mas pode ser resolvido em uma versão futura do Windows.

Análise técnica

O que fazer com isso?Isso é uma vulnerabilidade?É um problema que preocupa?

Com base nos critérios da Microsoft, não é uma vulnerabilidade.Não representa uma falha de um limite de segurança. Em vez disso, é um desvio válido de uma medida de Defesa em Profundidade, aparentemente resultante de um problema com a função herdada dos velhos dias do DOS que muitos de nós esquecemos que existe. Infelizmente, isso também é típico das vulnerabilidades: as vulnerabilidades tendem a aparecer no código antigo.

A indicação da Microsoft de que ele pode solucionar o problema em uma versão futura é consistente com sua prática.E, considerando que estamos falando de um problema de uma função herdada, isso é razoável: o código mais antigo tem dependências mais desconhecidas e há muitos testes que precisam acontecer sempre que são feitas alterações nas funções herdadas. Sempre há um risco inerente à estabilidade nas atualizações, e esse risco deve ser equilibrado com o risco à segurança apresentado por um problema.E esse risco aumenta quando você toca em códigos mais antigos e de nível inferior como este.

Tanto Nyotron quanto a Microsoft concordam que esse problema não está sendo usado ativamente. Esse é outro ponto a favor de se tratar de uma correção a longo prazo. Como observado, alterações no código legado como este podem ser arriscadas e causar problemas de estabilidade (ou seja, falhas). Você não gostaria de se proteger contra um risco potencial à segurança aplicando uma atualização que causa falhas reais: você acabou de trocar um problema por outro.E, nesse caso, a cura se torna mais perigosa do que a causa da cura.

É claro que o ambiente de ameaças pode mudar.E se essa técnica for escolhida e usada mais amplamente, a Microsoft poderá agir para resolvê-la mais rapidamente.

Com muita frequência, os relatórios de vulnerabilidade não são cortados e secos.E este é um desses casos. Sim, há um problema. Ainda não foi corrigido pela Microsoft.Não, não está sendo usado no momento. Sim, poderia ser usado no futuro. Sim, hoje existe uma solução disponível na Nyotron. Talvez (provavelmente sim) a Microsoft resolva isso no futuro.

Até que a Microsoft resolva isso, as empresas que executam o Windows 10 precisam fazer sua própria avaliação de risco.A última coisa que direi é reiterar que essa é uma medida DiD e não será um problema enquanto o ransomware não estiver em seus sistemas.E os autores de ransomware são criativos o suficiente para que, mesmo sem esse problema, possam e encontrem maneiras de ignorar medidas de DiD como essa.

Se você estiver preocupado com ransomware, minha recomendação é primeiro gastar um tempo com um backup sólidoe programa de recuperação para que você possa restaurar para um estado anterior ao ataque se enfrentar um ataque de ransomware. Mais de cinco anos após o surgimento do ransomware, esse continua sendo o remédio mais eficaz e comprovado para esses tipos de ataques.

Via: Geek Wire

Nenhum comentário

Assinar: Postar comentários ( Atom )