A falha do Microsoft Windows MotW está sendo explorada à solta; micropatch gratuito está disponível via 0patch

Uma falha de dia zero nos rótulos Windows Mark of the Web (MotW) está sendo ativamente explorada por invasores. MotW é conhecido por ser aplicado a arquivos ZIP extraídos, executáveis ​​e documentos originários de locais não confiáveis ​​na web. (através da Computador bleeping)

Então, se fosse um ZIP em vez de ISO, o MotW ficaria bem?
Na verdade, não. Mesmo que o Windows tente aplicar o MotW ao conteúdo ZIP extraído, é realmente muito ruim nisso.
Sem me esforçar muito, aqui eu tenho um arquivo ZIP onde o conteúdo NÃO retém proteção da Marca da Web. pic.twitter.com/1SOuzfca5q

- Will Dormann (@wdormann) 5 de julho de 2022

Os rótulos servem como uma camada de proteção e mecanismo de segurança que avisa seu sistema, incluindo outros programas e aplicativos, sobre possíveis ameaças e malware se um arquivo específico estiver instalado. Assim, com os invasores impedindo a aplicação dos rótulos MotW, os sinais de alerta não serão executados, deixando os usuários alheios às ameaças que um arquivo pode ter. Felizmente, embora ainda não haja uma correção oficial da Microsoft em relação a esse problema, o 0patch está oferecendo uma que você pode obter agora.

“Os invasores, portanto, compreensivelmente preferem que seus arquivos maliciosos não sejam marcados com MOTW; essa vulnerabilidade permite que eles criem um arquivo ZIP de modo que os arquivos maliciosos extraídos não sejam marcados”, escreve Mitja Kolsek, cofundadora da 0patch e CEO da ACROS Security. postar explicando a natureza do MotW como um importante mecanismo de segurança no Windows. “Um invasor pode entregar arquivos do Word ou Excel em um ZIP baixado que não teria suas macros bloqueadas devido à ausência do MOTW (dependendo das configurações de segurança de macro do Office) ou escaparia da inspeção do Smart App Control.”

O problema foi relatado pela primeira vez por um analista sênior de vulnerabilidades da empresa de soluções de TI Analygence chamado Will Dormann. Curiosamente, Dormann apresentou o problema pela primeira vez à Microsoft em julho, mas apesar de o relatório ter sido lido em agosto, uma correção ainda não está disponível para todos os usuários do Windows afetados.

Quase a mesma resposta foi encontrada pela edição anterior descoberta por Dormann em setembro, onde ele descobriu Lista de bloqueio de drivers vulneráveis ​​desatualizados da Microsoft, resultando em usuários expostos a drivers maliciosos desde 2019. A Microsoft não comentou oficialmente sobre o problema, mas o gerente de projeto Jeffery Sutherland participou da série de tweets de Dormann em outubro deste ano, dizendo que as soluções já estão disponíveis para resolver o problema.

A partir de agora, os relatórios estão dizendo que a falha do MotW ainda está sendo explorada, enquanto a Microsoft ainda não fala sobre os planos de como resolvê-la. No entanto, 0patch está oferecendo patches gratuitos que podem servir como alternativas temporárias para diferentes sistemas Windows afetados até que uma solução da Microsoft chegue. No post, Kolsek diz que o patch cobre sistemas do Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 v1803, Windows 7 com ou sem ESU, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 e Windows Server 2008 R2 com ou sem ESU.

Para usuários atuais do 0patch, o patch já está disponível em todos os agentes 0patch online. Enquanto isso, os novos na plataforma podem criar um conta 0patch grátis para registrar um Agente 0patch. Diz-se que o aplicativo de patch é automático e nenhuma reinicialização é necessária.