Microsoft Windows MotW-fejl udnyttes i naturen; gratis mikropatch er tilgængelig via 0patch

En nul-dages fejl i Windows Mark of the Web-etiketterne (MotW) bliver aktivt udnyttet af angribere. MotW er kendt for at blive anvendt på udpakkede ZIP-arkivfiler, eksekverbare filer og dokumenter, der stammer fra steder, der ikke er tillid til, på nettet. (via Bleeping Computer)

Så hvis det var en ZIP i stedet for ISO, ville MotW så være fint?
Ikke rigtig. Selvom Windows forsøger at anvende MotW på udpakkede ZIP-indhold, er det virkelig ret dårligt til det.
Uden at prøve for hårdt, her har jeg en ZIP-fil, hvor indholdet IKKE bevarer nogen beskyttelse fra Mark of the Web. pic.twitter.com/1SOuzfca5q

- Will Dormann (@wdormann) Juli 5, 2022

Etiketterne fungerer som et lag af beskyttelse og sikkerhedsmekanisme, der advarer dit system, inklusive andre programmer og apps, om mulige trusler og malware, hvis en specifik fil er installeret. Med angribere, der forhindrer anvendelsen af ​​MotW-etiketterne, vil advarselssignaler således ikke blive udført, hvilket efterlader brugerne uvidende om de trusler, en fil kan have. Heldigvis, selvom der stadig ikke er nogen officiel løsning fra Microsoft vedrørende dette problem, tilbyder 0patch en, du kan få nu.

“Angribere foretrækker derfor forståeligt nok, at deres ondsindede filer ikke er markeret med MOTW; denne sårbarhed giver dem mulighed for at oprette et ZIP-arkiv, således at udpakkede ondsindede filer ikke vil blive markeret,” skriver 0patch medstifter og ACROS Security CEO Mitja Kolsek i en indlæg forklarer karakteren af ​​MotW som en vigtig sikkerhedsmekanisme i Windows. "En angriber kunne levere Word- eller Excel-filer i en downloadet ZIP, som ikke ville have deres makroer blokeret på grund af fraværet af MOTW (afhængigt af Office-makrosikkerhedsindstillinger), eller ville undslippe inspektionen af ​​Smart App Control."

Problemet blev først rapporteret af en senior sårbarhedsanalytiker hos it-løsningsfirmaet Analygence ved navn Will Dormann. Interessant nok introducerede Dormann først problemet til Microsoft i juli, men på trods af at rapporten blev læst i august, er en rettelse stadig ikke tilgængelig for alle berørte Windows-brugere.

Næsten det samme svar blev mødt af det tidligere spørgsmål, som Dormann afslørede i september, hvor han opdagede Microsofts forældede blokliste over sårbare drivere, hvilket har resulteret i, at brugere er blevet udsat for ondsindede drivere siden 2019. Microsoft kommenterede ikke officielt på problemet, men projektleder Jeffery Sutherland deltog i Dormanns serie af tweets i oktober, og sagde, at der allerede er løsninger tilgængelige til at løse problemet.

Fra nu af siger rapporter, at MotW-fejlen stadig bliver udnyttet i naturen, mens Microsoft stadig er mor omkring planerne for, hvordan det vil løse det. Ikke desto mindre tilbyder 0patch gratis patches, der kan tjene som midlertidige alternativer til forskellige Windows-systemer, der er berørt, indtil en Microsoft-løsning ankommer. I indlægget siger Kolsek, at patchen dækker systemer med Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10, Windows 1803 eller uden ESU, Windows Server 7, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2012 og Windows Server 2 R2008 med eller uden ESU.

For nuværende 0patch-brugere er patchen allerede tilgængelig på alle online 0patch-agenter. I mellemtiden kan de nye på platformen oprette en gratis 0patch-konto at registrere en 0patch Agent. Patch-applikationen siges at være automatisk, og ingen genstart er nødvendig.