Microsoft Windows MotW -virhettä hyödynnetään luonnossa; ilmainen mikropatch on saatavilla 0patchin kautta

Hyökkääjät käyttävät aktiivisesti hyväkseen nollapäivän virhettä Windows Mark of the Web (MotW) -tarroissa. MotW tunnetaan siitä, että sitä käytetään purettuihin ZIP-arkistotiedostoihin, suoritettaviin tiedostoihin ja asiakirjoihin, jotka ovat peräisin ei-luotettavista paikoista verkossa. (kautta Bleeping Computer)

Joten jos se olisi ZIP eikä ISO, olisiko MotW kunnossa?
Ei oikeastaan. Vaikka Windows yrittää soveltaa MotW:tä purettuun ZIP-sisältöön, se on todella huono siinä.
Yrittämättä liikaa, minulla on ZIP-tiedosto, jonka sisältö EI säilytä Mark of the Webin suojaa. pic.twitter.com/1SOuzfca5q

- Will Dormann (@wdormann) Heinäkuu 5, 2022

Tarrat toimivat suoja- ja suojausmekanismina, joka varoittaa järjestelmääsi, mukaan lukien muut ohjelmat ja sovellukset, mahdollisista uhista ja haittaohjelmista, jos tietty tiedosto on asennettu. Näin ollen, kun hyökkääjät estävät MotW-tunnisteiden käytön, varoitussignaaleja ei suoriteta, jolloin käyttäjät eivät tiedä tiedoston mahdollisesti aiheuttamia uhkia. Onneksi, vaikka Microsoftilta ei vieläkään ole virallista korjausta tähän ongelmaan, 0patch tarjoaa sellaisen, jonka voit hankkia nyt.

"Hyökkääjät siis ymmärrettävästi haluavat, ettei heidän haitallisia tiedostojaan ole merkitty MOTW:lla; Tämän haavoittuvuuden ansiosta he voivat luoda ZIP-arkiston siten, että purettuja haitallisia tiedostoja ei merkitä", kirjoittaa 0patchin perustaja ja ACROS Securityn toimitusjohtaja Mitja Kolsek. posti selittää MotW:n luonteen tärkeänä suojausmekanismina Windowsissa. "Hyökkääjä voi toimittaa Word- tai Excel-tiedostoja ladatussa ZIP-tiedostossa, jonka makroja ei estäisi MOTW:n puuttumisen vuoksi (Office-makrosuojausasetuksista riippuen), tai jotka välttyisivät Smart App Controlin tarkastukselta."

Ongelmasta raportoi ensimmäisenä IT-ratkaisuyhtiö Analygencen vanhempi haavoittuvuusanalyytikko Will Dormann. Mielenkiintoista on, että Dormann esitteli ongelman ensimmäisen kerran Microsoftille heinäkuussa, mutta huolimatta siitä, että raportti oli luettu elokuussa, korjaus ei ole vieläkään saatavilla kaikille Windows-käyttäjille, joita ongelma koskee.

Melkein saman vastauksen sai Dormannin syyskuussa paljastama aikaisempi ongelma, josta hän löysi Microsoftin vanhentunut haavoittuvien ohjainten estoluettelo, minkä seurauksena käyttäjät ovat altistuneet haitallisille ohjaimille vuodesta 2019 lähtien. Microsoft ei kommentoinut asiaa virallisesti, mutta projektipäällikkö Jeffery Sutherland osallistui Dormannin twiittisarjaan lokakuussa ja sanoi, että ongelman ratkaisemiseksi on jo saatavilla ratkaisuja.

Raporttien mukaan MotW-virhettä hyödynnetään edelleen luonnossa, kun taas Microsoft on edelleen äiti suunnitelmista sen ratkaisemiseksi. Siitä huolimatta 0patch tarjoaa ilmaisia ​​korjaustiedostoja, jotka voivat toimia tilapäisinä vaihtoehtoina erilaisille Windows-järjestelmille, joita se koskee, kunnes Microsoft-ratkaisu saapuu. Viestissä Kolsek sanoo, että korjaustiedosto kattaa järjestelmät Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10, Windows 1803 v7, Windows 2022, Windows 2019 v2016 tai ilman ESU:ta, Windows Server 2012, Windows Server 2012, Windows Server 2, Windows Server 2008, Windows Server 2 RXNUMX ja Windows Server XNUMX RXNUMX ESU:n kanssa tai ilman.

Nykyisille 0patch-käyttäjille korjaustiedosto on jo saatavilla kaikissa online-0patch-agenteissa. Sillä välin alustan uudet käyttäjät voivat luoda a ilmainen 0patch-tili rekisteröidäksesi 0patch-agentin. Korjaussovelluksen sanotaan olevan automaattinen, eikä uudelleenkäynnistystä tarvita.