Trend Micro разкри метод, който заплахите на национални държави използват, за да се насочат към жертви чрез разширението на файла за пряк път на Windows .Ink.

Според ново изследване на Trend Micro Zero Day Initiative (ZDI), спонсорирани от държави APT от Северна Корея, Иран, Русия и Китай се насочват към жертви, използвайки експлойт за файл с шорткът в Windows.

В изследователския блог, публикуван на 18 март, изследователите на Trend Micro Питър Гирнус и Алиакбар Захрави идентифицираха 11 спонсорирани от държавата групи за напреднали постоянни заплахи (APT) от тези четири държави, които се насочват към уязвимост, проследена като ZDI-CAN-25373, която „позволява на нападателите да изпълняват скрити злонамерени команди на машината на жертвата, като използват изработени файлове с кратки пътища“.

Според Trend Micro Китай, Иран, Северна Корея и Русия са използвали нулевия ден предимно за шпионаж и кражба на данни в кампании, датиращи поне от 2017 г. „Засегнати са организации от правителствения, финансовия, телекомуникационния, военния и енергийния сектор в Северна Америка, Европа, Азия, Южна Америка и Австралия“, пишат Гирнус и Захрави.

Как работи нулевият ден с бърз достъп в Windows

За ZDI-CAN-25373 Trend Micro заяви, че недостатъкът „е свързан с начина, по който Windows показва съдържанието на файловете с преки пътища (.lnk) чрез потребителския интерфейс на Windows“.

„Като използва тази уязвимост, атакуващият може да подготви злонамерен .lnk файл за доставка на жертвата“, казаха двамата изследователи. „При разглеждане на файла чрез предоставения от Windows потребителски интерфейс жертвата няма да може да разбере, че файлът съдържа злонамерено съдържание.“

Файловете .Ink са двоични файлове в Windows, известни като „Shell Link files“, които се използват за генериране на преки пътища към приложения, файлове и папки. Trend Micro заяви, че това е популярен тип файл за участниците в заплахи, тъй като в целевото поле могат да бъдат вградени злонамерени аргументи от командния ред, което ги прави способни да изпълняват код.

По-специално за този проблем  заплахите изработват .Ink файл, който съдържа значително бяло пространство в съответните полета, за да скрие зловредния код и да попречи на Windows да го покаже в прозореца със свойства. Потенциалната жертва ще се нуждае от инструмент на трета страна, като например шестнадесетичен редактор, за да види съответното съдържание.

Въпреки че .Ink файловете по принцип са много малки поради ролята им за осигуряване на пряк път, изследователите идентифицираха APT, използващи „изключително големи“ файлове с размер, надхвърлящ 70 MB.

Атаките ZDI-CAN-25373 разчитат на това, че  заплахата може да достави зловреден файл на работния плот на жертвата и да я накара да кликне върху файла. Изследователите твърдят, че APT карат жертвите да щракнат върху файловете, като използват икони и текст, предназначени да объркат целта и да я накарат да изпълни .ink файла. По този начин той предлага още една възможност в инструментариума на по-голяма атака, за да се получи изпълнение на код.

Отговорът на Microsoft

ZDI-CAN-25373, казват Гирнус и Захрави, е пример за неправилно представяне на критична информация в потребителския интерфейс (UI) (CWE-451), което означава, че може успешно да попречи на Windows да покаже на потребителя критична за сигурността информация.

Въпреки това Trend Micro заяви, че е малко вероятно Microsoft да предприеме действия по проблема в близко бъдеще.

„Тази уязвимост беше разкрита на Microsoft чрез програмата за награди за грешки на Trend ZDI; Microsoft класифицира тази уязвимост като слабо сериозна и тя няма да бъде закърпена в близко бъдеще“, гласи публикацията в блога на изследването.

Говорител на Microsoft съобщи на Dark Reading, че Microsoft Defender разполага с детектори за блокиране на описаната дейност на заплахата, а Smart App Control блокира злонамерени файлове от интернет.

„Оценяваме високо работата на ZDI по представянето на този доклад в рамките на координираното разкриване на уязвимости“, казва говорителят. „Като най-добра практика в областта на сигурността насърчаваме клиентите да внимават, когато изтеглят файлове от непознати източници, както е посочено в предупрежденията за сигурност, които са създадени, за да разпознават и предупреждават потребителите за потенциално вредни файлове. Въпреки че описаният в доклада опит с потребителския интерфейс не отговаря на изискванията за незабавно обслужване съгласно нашите насоки за класификация на сериозността, ще обмислим да го отстраним в бъдещо издание на функцията.“

Говорителят обяснява още, че опитът за отваряне на .Ink файл, изтеглен от интернет, задейства предупреждение за сигурност, което съветва потребителите да не отварят файлове от непознати източници, и че компанията „силно препоръчва да се вслушате в това предупреждение. Освен това описаният метод е „с ограничена практическа полза за нападателя“, добавя Microsoft, тъй като потребителите обикновено не проверяват свойствата на файла.

Dark Reading попита Дъстин Чайлдс от ZDI за решението на Microsoft да не предприеме незабавни действия срещу силно рекламираната си инициатива „Безопасно бъдеще“. Той казва, че това не е идеално, но признава предизвикателствата на кръпките за нещо като ZDI-CAN-25373.

„Макар че това със сигурност не изглежда добре от гледна точка на тяхната Инициатива за сигурно бъдеще, отстраняването на този бъг няма да е лесно“, казва Чайлдс. „Мисля обаче, че фактът, че тя се използва активно от национални кибер групировки – и се използва от няколко години – ще им осигури подходяща мотивация да предприемат действия.“