Nedostatak Microsoft Windows MotW iskorištava se u divljini; besplatni micropatch dostupan je putem 0patch

Napadači aktivno iskorištavaju grešku nultog dana u oznakama Windows Mark of Web (MotW). MotW je poznat po tome što se primjenjuje na izdvojene ZIP arhivske datoteke, izvršne datoteke i dokumente koji potječu s nepouzdanih mjesta na webu. (preko Računalo za spavanje)

Dakle, da je ZIP umjesto ISO, bi li MotW bio u redu?
Ne baš. Iako Windows pokušava primijeniti MotW na ekstrahirani ZIP sadržaj, stvarno je prilično loš u tome.
Bez da se previše trudim, ovdje imam ZIP datoteku čiji sadržaj NEMA zaštitu od Mark of the Web. pic.twitter.com/1SOuzfca5q

- Will Dormann (@wdormann) Srpanj 5, 2022

Oznake služe kao zaštitni i sigurnosni mehanizam koji upozorava vaš sustav, uključujući druge programe i aplikacije, na moguće prijetnje i zlonamjerni softver ako je određena datoteka instalirana. Stoga, s napadačima koji sprječavaju primjenu MotW oznaka, signali upozorenja neće biti izvršeni, ostavljajući korisnike nesvjesnima prijetnji koje datoteka može imati. Srećom, iako još uvijek nema službenog rješenja od Microsofta u vezi s ovim problemom, 0patch nudi ono koje možete nabaviti sada.

“Napadači stoga razumljivo preferiraju da njihove zlonamjerne datoteke nisu označene s MOTW; ova im ranjivost omogućuje stvaranje ZIP arhive tako da ekstrahirane zlonamjerne datoteke neće biti označene,” piše suosnivač 0patcha i CEO ACROS Security Mitja Kolsek u pošta objašnjavajući prirodu MotW-a kao važnog sigurnosnog mehanizma u sustavu Windows. "Napadač bi mogao isporučiti Word ili Excel datoteke u preuzetom ZIP-u čije makronaredbe ne bi bile blokirane zbog nepostojanja MOTW-a (ovisno o sigurnosnim postavkama Office makronaredbi) ili bi izbjegao inspekciju Smart App Control."

O problemu je prvi izvijestio Will Dormann, viši analitičar ranjivosti u tvrtki za IT rješenja Analygence. Zanimljivo je da je Dormann prvi put predstavio problem Microsoftu u srpnju, ali unatoč tome što je izvješće pročitano do kolovoza, popravak još uvijek nije dostupan za svakog pogođenog korisnika Windowsa.

Gotovo na isti odgovor naišao je raniji problem koji je Dormann otkrio u rujnu, gdje je otkrio Microsoftov zastarjeli popis blokiranih ranjivih upravljačkih programa, što je rezultiralo izlaganjem korisnika zlonamjernim upravljačkim programima od 2019. Microsoft nije službeno komentirao problem, ali voditelj projekta Jeffery Sutherland sudjelovao je u Dormannovoj seriji tweetova ovog listopada, rekavši da su rješenja već dostupna za rješavanje problema.

Od sada, izvješća govore da se greška MotW još uvijek iskorištava u divljini, dok Microsoft još uvijek šuti o planovima kako će je riješiti. Unatoč tome, 0patch nudi besplatne zakrpe koje mogu poslužiti kao privremene alternative za različite pogođene Windows sustave dok ne stigne Microsoftovo rješenje. U objavi Kolsek kaže da zakrpa pokriva sustave Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 v1803, Windows 7 s ili bez ESU, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 i Windows Server 2008 R2 sa ili bez ESU.

Za trenutne korisnike 0patcha, zakrpa je već dostupna na svim online 0patch agentima. U međuvremenu, oni koji su novi na platformi mogu stvoriti besplatni 0patch račun za registraciju 0patch agenta. Kaže se da je aplikacija zakrpe automatska i da nije potrebno ponovno pokretanje.