Defectul Microsoft Windows MotW este exploatat în sălbăticie; micropatch-ul gratuit este disponibil prin 0patch

Un defect zero-day în etichetele Windows Mark of the Web (MotW) este exploatat în mod activ de către atacatori. MotW este cunoscut pentru că este aplicat fișierelor de arhivă ZIP extrase, executabilelor și documentelor care provin din locuri nede încredere de pe web. (prin intermediul Bleeping Computer)

Deci, dacă ar fi un ZIP în loc de ISO, MotW ar fi bine?
Nu chiar. Chiar dacă Windows încearcă să aplice MotW la conținutul ZIP extras, este destul de prost la asta.
Fără să încerc prea mult, aici am un fișier ZIP în care conținutul nu păstrează nicio protecție împotriva Mark of the Web. pic.twitter.com/1SOuzfca5q

- Will Dormann (@wdormann) Iulie 5, 2022

Etichetele servesc ca un strat de protecție și mecanism de securitate care vă avertizează sistemul, inclusiv alte programe și aplicații, despre posibile amenințări și programe malware, dacă este instalat un anumit fișier. Astfel, cu atacatorii care împiedică aplicarea etichetelor MotW, semnalele de avertizare nu vor fi executate, lăsând utilizatorii nevăzuți de amenințările pe care le poate avea un fișier. Din fericire, deși încă nu există o soluție oficială de la Microsoft cu privire la această problemă, 0patch oferă una pe care o puteți obține acum.

„Atacatorii preferă, prin urmare, ca fișierele lor rău intenționate să nu fie marcate cu MOTW; această vulnerabilitate le permite să creeze o arhivă ZIP astfel încât fișierele rău intenționate extrase să nu fie marcate”, scrie Mitja Kolsek, co-fondatorul 0patch și CEO-ul ACROS Security. post explicând natura MotW ca un mecanism de securitate important în Windows. „Un atacator ar putea livra fișiere Word sau Excel într-un ZIP descărcat care nu ar avea macrocomenzi blocate din cauza absenței MOTW (în funcție de setările de securitate macro Office) sau ar scăpa de inspecția Smart App Control.”

Problema a fost raportată pentru prima dată de un analist senior de vulnerabilități la compania de soluții IT Analygence, numit Will Dormann. Interesant este că Dormann a introdus problema pentru prima dată la Microsoft în iulie, dar, în ciuda faptului că raportul a fost citit până în august, o remediere este încă indisponibilă pentru fiecare utilizator Windows afectat.

Aproape același răspuns a fost întâlnit de problema anterioară descoperită de Dormann în septembrie, unde a descoperit Lista de blocare a șoferilor vulnerabili depășită a Microsoft, ceea ce a dus la expuși utilizatorilor la drivere rău intenționate din 2019. Microsoft nu a comentat oficial această problemă, dar managerul de proiect Jeffery Sutherland a participat la seria de tweet-uri a lui Dormann din octombrie, spunând că sunt deja disponibile soluții pentru a rezolva problema.

Începând de acum, rapoartele spun că defectul MotW este încă exploatat în sălbăticie, în timp ce Microsoft este încă mumă cu privire la planurile cu privire la modul în care o va rezolva. Cu toate acestea, 0patch oferă patch-uri gratuite care pot servi ca alternative temporare pentru diferite sisteme Windows afectate până la sosirea unei soluții Microsoft. În postare, Kolsek spune că patch-ul acoperă sistemele Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 cu Windows 1803 7 sau fără ESU, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 și Windows Server 2008 R2 cu sau fără ESU.

Pentru utilizatorii actuali 0patch, patch-ul este deja disponibil pe toți agenții 0patch online. Între timp, cei noi pe platformă pot crea un cont 0patch gratuit pentru a înregistra un agent 0patch. Se spune că aplicația de corecție este automată și nu este necesară repornirea.