Уязвимость Microsoft Windows MotW активно эксплуатируется; бесплатный микропатч доступен через 0patch

Злоумышленники активно используют уязвимость нулевого дня в ярлыках Windows Mark of the Web (MotW). MotW известен тем, что применяется к извлеченным файлам ZIP-архивов, исполняемым файлам и документам, происходящим из ненадежных мест в Интернете. (с помощью Спящий компьютер)

Итак, если бы это был ZIP, а не ISO, MotW был бы в порядке?
Не совсем. Несмотря на то, что Windows пытается применить MotW к распакованному содержимому ZIP, это у него очень плохо получается.
Не слишком стараясь, у меня есть ZIP-файл, содержимое которого НЕ защищено от Mark of the Web. pic.twitter.com/1SOuzfca5q

- Уилл Дорманн (@wdormann) Июль 5, 2022

Метки служат уровнем защиты и механизмом безопасности, который предупреждает вашу систему, включая другие программы и приложения, о возможных угрозах и вредоносных программах, если установлен определенный файл. Таким образом, когда злоумышленники предотвращают применение меток MotW, предупреждающие сигналы не будут выполняться, и пользователи не заметят угроз, которые может иметь файл. К счастью, хотя официального решения Microsoft по этой проблеме до сих пор нет, 0patch предлагает его, который вы можете получить уже сейчас.

«Поэтому понятно, что злоумышленники предпочитают, чтобы их вредоносные файлы не были помечены MOTW; эта уязвимость позволяет им создать ZIP-архив, чтобы извлеченные вредоносные файлы не были помечены», — пишет соучредитель 0patch и генеральный директор ACROS Security Митя Колсек в своем отчете. после объясняя природу MotW как важного механизма безопасности в Windows. «Злоумышленник может доставить файлы Word или Excel в загруженном ZIP-архиве, макросы которого не будут заблокированы из-за отсутствия MOTW (в зависимости от настроек безопасности макросов Office) или избежать проверки Smart App Control».

Впервые об этой проблеме сообщил старший аналитик по уязвимостям компании Analygence, занимающейся ИТ-решениями, по имени Уилл Дорманн. Интересно, что Дорманн впервые представил Microsoft проблему в июле, но, несмотря на то, что отчет был прочитан к августу, исправление по-прежнему недоступно для каждого затронутого пользователя Windows.

Почти такой же отклик вызвала более ранняя проблема, обнаруженная Дорманном в сентябре, где он обнаружил Черный список устаревших уязвимых драйверов Microsoft, в результате чего пользователи подвергаются воздействию вредоносных драйверов с 2019 года. Microsoft официально не комментировала эту проблему, но менеджер проекта Джеффри Сазерленд принял участие в серии твитов Дорманна в октябре этого года, заявив, что решения для решения этой проблемы уже доступны.

На данный момент в отчетах говорится, что уязвимость MotW все еще используется в дикой природе, в то время как Microsoft по-прежнему хранит молчание о планах ее устранения. Тем не менее, 0patch предлагает бесплатные исправления, которые могут служить временной альтернативой для различных затронутых систем Windows, пока не появится решение Microsoft. В сообщении Колсек говорит, что исправление распространяется на системы Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 v1803, Windows 7 с или без ЕСУ, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 и Windows Server 2008 R2 с ЕСУ или без него.

Для текущих пользователей 0patch исправление уже доступно для всех онлайн-агентов 0patch. Между тем, те, кто плохо знаком с платформой, могут создать бесплатный аккаунт 0patch для регистрации агента 0patch. Приложение исправления считается автоматическим, и перезагрузка не требуется.