Luka Microsoft Windows MotW jest wykorzystywana na wolności; darmowy mikropatch jest dostępny za pośrednictwem 0patch

Napastnicy aktywnie wykorzystują lukę dnia zerowego w etykietach Windows Mark of the Web (MotW). MotW jest znany z tego, że jest stosowany do wyodrębnionych plików archiwów ZIP, plików wykonywalnych i dokumentów pochodzących z niezaufanych miejsc w sieci. (przez Komputer spłukujący)

Więc gdyby był to ZIP zamiast ISO, czy MotW byłby w porządku?
Nie całkiem. Mimo że Windows próbuje zastosować MotW do wyodrębnionej zawartości ZIP, jest w tym naprawdę dość kiepski.
Bez zbytniego wysiłku, tutaj mam plik ZIP, w którym zawartość nie zachowuje ŻADNEJ ochrony przed Mark of the Web. pic.twitter.com/1SOuzfca5q

- Will Dormann (@wdormann) 5 lipca 2022 r.

Etykiety służą jako warstwa ochrony i mechanizmu bezpieczeństwa, który ostrzega system, w tym inne programy i aplikacje, o możliwych zagrożeniach i złośliwym oprogramowaniu, jeśli zostanie zainstalowany określony plik. Tak więc, gdy atakujący uniemożliwiają zastosowanie etykiet MotW, sygnały ostrzegawcze nie zostaną wykonane, pozostawiając użytkowników nieświadomych zagrożeń, jakie może nieść plik. Na szczęście, chociaż firma Microsoft nadal nie ma oficjalnej poprawki dotyczącej tego problemu, 0patch oferuje taką, którą można teraz uzyskać.

„Atakujący, co zrozumiałe, wolą zatem, aby ich złośliwe pliki nie były oznaczane MOTW; ta luka pozwala im na utworzenie archiwum ZIP, w którym wyodrębnione złośliwe pliki nie będą oznaczane”, pisze współzałożyciel firmy 0patch i dyrektor generalny ACROS Security Mitja Kolsek w swoim pisać wyjaśnienie natury MotW jako ważnego mechanizmu bezpieczeństwa w systemie Windows. „Atakujący może dostarczyć pliki Worda lub Excela w pobranym pliku ZIP, które nie miałyby zablokowanych makr z powodu braku MOTW (w zależności od ustawień bezpieczeństwa makr pakietu Office) lub mogłyby uniknąć kontroli przez Smart App Control”.

Problem został po raz pierwszy zgłoszony przez starszego analityka podatności w firmie Analygence zajmującej się rozwiązaniami IT, Will Dormann. Co ciekawe, Dormann po raz pierwszy przedstawił problem Microsoftowi w lipcu, ale pomimo przeczytania raportu do sierpnia, poprawka jest nadal niedostępna dla każdego użytkownika systemu Windows, którego dotyczy problem.

Prawie taką samą odpowiedź spotkał wcześniejszy problem odkryty przez Dormanna we wrześniu, w którym odkrył Nieaktualna lista zablokowanych sterowników firmy Microsoft, w wyniku czego użytkownicy byli narażeni na szkodliwe sterowniki od 2019 roku. Microsoft oficjalnie nie skomentował tego problemu, ale kierownik projektu Jeffery Sutherland uczestniczył w serii tweetów Dormanna w październiku, mówiąc, że rozwiązania są już dostępne, aby rozwiązać ten problem.

Jak na razie raporty mówią, że luka MotW jest nadal wykorzystywana na wolności, podczas gdy Microsoft wciąż ma plany, jak ją rozwiązać. Niemniej jednak 0patch oferuje bezpłatne łatki, które mogą służyć jako tymczasowe alternatywy dla różnych systemów Windows dotkniętych problemem, dopóki nie pojawi się rozwiązanie Microsoft. W poście Kolsek pisze, że łatka obejmuje systemy Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 v1803, Windows 7 z lub bez ESU, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 i Windows Server 2008 R2 z lub bez ESU.

Dla obecnych użytkowników 0patch, łatka jest już dostępna dla wszystkich internetowych agentów 0patch. Tymczasem nowicjusze na platformie mogą stworzyć darmowe konto 0patch aby zarejestrować agenta 0patch. Mówi się, że aplikacja łaty działa automatycznie i nie jest wymagane ponowne uruchomienie.