פתרון חדש ולא רשמי למניעת הפצת כופרה במחשב הביתי שלכם

פגם יום אפס שחל על תוויות MotW (ר"ת Windows Mark of the Web) במערכת ההפעלה של מיקרוסופט מנוצל באופן פעיל על ידי תוקפים להפצת כופרות, כנראה בעיקר במחשבים אישיים ביתיים. ככלל, מדובר במצב שבו ההאקרים מונעים את היישום של תוויות האזהרה MotW, המשתמשים לא מודעים לאיומים שעלולים להסתתר בקובץ והסיכון למחשביהם גדל.

למרות שעדיין אין תיקון רשמי שמציעה הענקית מרדמונד לבעיה, הידועה לה כבר מהאביב האחרון, חברת אבטחת הסייבר ACROS Security הוציאה כעת לאי לא רשמי שיכול לסייע למי שמעוניין לסגור את הפרצה. 

בחודש מאי האחרון איתר חוקר האבטחה וויל דורמן פגיעות ב-Windows, המאפשרת לתוקף למנוע ממערכת ההפעלה להגדיר את סימון MotW (ר"ת Mark of the Web) בקבצים שחולצו מארכיון ZIP, גם אם ארכיון ה-ZIP הגיע ממקור לא מהימן מהאינטרנט, בדואר אלקטרוני או ממפתח USB.

ה-MotW הוא מנגנון אבטחה חשוב ב-Windows, משום שמערכת ההפעלה אמורה להציג אזהרת אבטחה לפני השקת קובץ הפעלה שסומן ב-MotW. בנוסף Smart App Control פועלת רק על קבצים שיש להם סימון MotW. כמו כן Microsoft Office חוסם פקודות מאקרו במסמכים עם MotW. לכן, באופן מובן תוקפים מעדיפים שהקבצים הזדוניים שלהם לא יסומנו ב-MotW, בזמן שהפגיעות מאפשרת להם ליצור ארכיון ZIP כך שקבצים דחוסים זדוניים לא יסומנו ויפתחו על ידי המשתמש בתמימות.

Free Micropatches For Bypassing "Mark of the Web" on Unzipped Files (0day) https://t.co/ic4BCZtFRn pic.twitter.com/C5UUr0e9Ub

— 0patch (@0patch) October 17, 2022

ACROS Security בישרה לעוקביה באחרונה: "אנו שמחים לדווח שזה עתה הנפקנו מיקרו-פאצ'ים עבור פגיעות זו, ומספקים אותה ללא תשלום, על פי ההנחיות שלנו, עד שמיקרוסופט תוציא את התיקון הרשמי שלה".

המיקרו-פאץ' של ACROS Security בפעולה

כפי שניתן לראות, החברה הוציאה סרטון שעלה ליוטיוב ובו נראה המיקרו-פאץ' בפעולה. החברה ציינה כי "עם המיקרו-פאץ' שלנו במקום, קוד החילוץ מתוקן ומחיל כראוי את ה-MotW על הקובץ שחולץ (קובץ ZIP – ג"פ) – מה שגורם לכך שאזהרת האבטחה מוצגת למשתמש".

לפי חברת הסייבר, המיקרו-טלאים האלה מופצים דרך 0patch – פלטפורמה להפצה, יישום והסרה מיידית של תיקונים בינאריים מיקרוסקופיים לתהליכים פועלים, מבלי צורך להפעיל מחדש תהליכים אלה (שמשמעות הדבר היא לאתחל הרבה פחות את כל המחשב). 

ACROS Security מסבירה כי אם אתם חדשים ב-0patch, עליכם ליצור בשירות חשבון בחינם, ולאחר מכן להתקין ולרשום את 0patch Agent מ-0patch.com. כל השאר יקרה אוטומטית ולא יהיה צורך באתחול מחדש של המחשב.

איך זה קשור לכופרות במחשב האישי?

HP Wolf Security שיתפה בספטמבר האחרון דיווח על מבול של זיהומים של תוכנות כופר, שכל אחד מהם התחיל בהורדה מהאינטרנט. הקורבנות התבקשו לחלץ ארכיון ZIP המכיל קובץ JavaScript שהתחזה לאנטי וירוס או לעדכון תוכנת Windows. ואולם כשהם הריצו את החילוץ, המהלך למעשה פרס את Magniber – זן של תוכנת כופר המיועד למשתמשים ביתיים של מערכת ההפעלה Windows. קובץ הכופר הזה מערבל מסמכים ויכול לסחוט עד 2,500 דולר מהקורבנות, אם ירצו לשחזר את הנתונים שלהם, כך לפי Wolf Security.

"למרות ש-Magniber לא נכנס לקטגוריה של 'משחק צייד גדול', זה עדיין יכול לגרום נזק משמעותי", כתב צוות Wolf Security בדו"ח שלו, בתוך שהכוונה במונח 'משחק צייד גדול' היא לנוכלים שמדביקים במיוחד ארגונים גדולים ועשירים בתקווה לגרוף קופה גדולה. "משתמשים ביתיים היו היעד הסביר של תוכנה זדונית זו, בהתבסס על גרסאות מערכת ההפעלה הנתמכות ומעקף UAC", כך הבהירו החוקרים.