Il difetto MotW di Microsoft Windows viene sfruttato in natura; la micropatch gratuita è disponibile tramite 0patch

Un difetto zero-day nelle etichette di Windows Mark of the Web (MotW) viene attivamente sfruttato dagli aggressori. MotW è noto per essere applicato a file di archivio ZIP estratti, eseguibili e documenti provenienti da luoghi non attendibili sul Web. (attraverso Bleeping Computer)

Quindi se fosse uno ZIP invece di ISO, MotW andrebbe bene?
Non proprio. Anche se Windows cerca di applicare MotW ai contenuti ZIP estratti, è davvero pessimo.
Senza sforzarmi troppo, qui ho un file ZIP in cui il contenuto NON conserva alcuna protezione da Mark of the Web. pic.twitter.com/1SOuzfca5q

- Will Dormann (@wdormann) Luglio 5, 2022

Le etichette fungono da livello di protezione e meccanismo di sicurezza che avverte il tuo sistema, inclusi altri programmi e app, di possibili minacce e malware se è installato un file specifico. Pertanto, con gli aggressori che impediscono l'applicazione delle etichette MotW, i segnali di avviso non verranno eseguiti, lasciando gli utenti ignari delle minacce che un file potrebbe avere. Per fortuna, sebbene non ci sia ancora una soluzione ufficiale da parte di Microsoft per quanto riguarda questo problema, 0patch ne offre una che puoi ottenere ora.

“Gli aggressori quindi preferiscono comprensibilmente che i loro file dannosi non siano contrassegnati con MOTW; questa vulnerabilità consente loro di creare un archivio ZIP in modo tale che i file dannosi estratti non vengano contrassegnati", scrive Mitja Kolsek, cofondatore di 0patch e CEO di ACROS Security in un settimana spiegando la natura di MotW come importante meccanismo di sicurezza in Windows. "Un utente malintenzionato potrebbe fornire file Word o Excel in uno ZIP scaricato che non avrebbe le macro bloccate a causa dell'assenza del MOTW (a seconda delle impostazioni di sicurezza delle macro di Office) o sfuggirebbe all'ispezione di Smart App Control".

Il problema è stato segnalato per la prima volta da un analista di vulnerabilità senior presso la società di soluzioni IT Analygence di nome Will Dormann. È interessante notare che Dormann ha presentato per la prima volta il problema a Microsoft a luglio, ma nonostante il rapporto sia stato letto entro agosto, una soluzione non è ancora disponibile per tutti gli utenti Windows interessati.

Quasi la stessa risposta è stata accolta dal precedente problema scoperto da Dormann a settembre, dove ha scoperto La blocklist dei driver vulnerabili scaduti di Microsoft, con il risultato che gli utenti sono stati esposti a driver dannosi dal 2019. Microsoft non ha commentato ufficialmente il problema, ma il project manager Jeffery Sutherland ha partecipato alla serie di tweet di Dormann questo ottobre, affermando che sono già disponibili soluzioni per risolvere il problema.

A partire da ora, i rapporti affermano che il difetto MotW viene ancora sfruttato in natura, mentre Microsoft non sa ancora sui piani su come risolverlo. Tuttavia, 0patch offre patch gratuite che possono fungere da alternative temporanee per diversi sistemi Windows interessati fino all'arrivo di una soluzione Microsoft. Nel post, Kolsek afferma che la patch copre i sistemi di Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 v1803, Windows 7 con o senza ESU, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 e Windows Server 2008 R2 con o senza ESU.

Per gli attuali utenti di 0patch, la patch è già disponibile su tutti gli agenti 0patch online. Nel frattempo, i nuovi utenti della piattaforma possono creare un file account 0patch gratuito per registrare un agente 0patch. Si dice che l'applicazione della patch sia automatica e non sia necessario il riavvio.