Lỗ hổng Microsoft Windows MotW đang được khai thác trong tự nhiên; Micropatch miễn phí có sẵn qua 0patch

Một lỗ hổng zero-day trong nhãn Windows Mark of the Web (MotW) đang bị những kẻ tấn công tích cực khai thác. MotW được biết đến vì được áp dụng cho các tệp lưu trữ ZIP được giải nén, tệp thực thi và tài liệu có nguồn gốc từ những nơi không đáng tin cậy trên web. (thông qua Máy tính ngủ đêm)

Vì vậy, nếu nó là một ZIP thay vì ISO, MotW có ổn không?
Không hẳn vậy. Mặc dù Windows cố gắng áp dụng MotW cho các nội dung ZIP được trích xuất, nhưng nó thực sự khá tệ.
Không cần cố gắng quá nhiều, ở đây tôi đã có một tệp ZIP mà nội dung KHÔNG được bảo vệ khỏi Mark of the Web. pic.twitter.com/1SOuzfca5q

- Will Dormann (@wdormann) 5 Tháng Bảy, 2022

Các nhãn đóng vai trò như một lớp bảo vệ và cơ chế bảo mật cảnh báo hệ thống của bạn, bao gồm các chương trình và ứng dụng khác, về các mối đe dọa và phần mềm độc hại có thể xảy ra nếu một tệp cụ thể được cài đặt. Do đó, với việc những kẻ tấn công ngăn chặn việc áp dụng các nhãn MotW, các tín hiệu cảnh báo sẽ không được thực thi, khiến người dùng không biết đến các mối đe dọa mà một tệp có thể có. Rất may, mặc dù vẫn chưa có bản sửa lỗi chính thức nào từ Microsoft về vấn đề này, 0patch đang cung cấp một bản sửa lỗi mà bạn có thể tải xuống ngay bây giờ.

“Do đó, những kẻ tấn công thích các tệp độc hại của họ không được đánh dấu bằng MOTW; lỗ hổng này cho phép họ tạo một kho lưu trữ ZIP để các tệp độc hại được trích xuất sẽ không bị đánh dấu, ”Người đồng sáng lập 0patch và Giám đốc điều hành ACROS Security Mitja Kolsek viết trong một gửi giải thích bản chất của MotW như một cơ chế bảo mật quan trọng trong Windows. “Kẻ tấn công có thể cung cấp các tệp Word hoặc Excel trong tệp ZIP đã tải xuống sẽ không bị chặn macro do không có MOTW (tùy thuộc vào cài đặt bảo mật macro Office) hoặc sẽ thoát khỏi sự kiểm tra của Smart App Control.”

Sự cố được báo cáo lần đầu tiên bởi một nhà phân tích lỗ hổng cấp cao tại công ty giải pháp CNTT Analygence tên là Will Dormann. Điều thú vị là Dormann lần đầu tiên giới thiệu vấn đề với Microsoft vào tháng XNUMX, nhưng mặc dù báo cáo đã được đọc vào tháng XNUMX, bản sửa lỗi vẫn không khả dụng cho mọi người dùng Windows bị ảnh hưởng.

Gần như phản ứng tương tự đã gặp phải trong vấn đề trước đó được Dormann phát hiện vào tháng XNUMX, nơi anh ta phát hiện ra Danh sách chặn trình điều khiển dễ bị tấn công lỗi thời của Microsoft, dẫn đến việc người dùng tiếp xúc với trình điều khiển độc hại kể từ năm 2019. Microsoft không chính thức bình luận về vấn đề này, nhưng giám đốc dự án Jeffery Sutherland đã tham gia vào loạt tweet của Dormann vào tháng XNUMX này, nói rằng các giải pháp đã có sẵn để giải quyết vấn đề.

Hiện tại, các báo cáo cho biết lỗ hổng MotW vẫn đang được khai thác trong tự nhiên, trong khi Microsoft vẫn chưa biết về kế hoạch giải quyết nó như thế nào. Tuy nhiên, 0patch đang cung cấp các bản vá miễn phí có thể dùng làm giải pháp thay thế tạm thời cho các hệ thống Windows khác nhau bị ảnh hưởng cho đến khi có giải pháp của Microsoft. Trong bài đăng, Kolsek cho biết bản vá bao gồm các hệ thống Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 v1803, Windows 7 với hoặc không có ESU, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 và Windows Server 2008 R2 có hoặc không có ESU.

Đối với người dùng 0patch hiện tại, bản vá đã có sẵn trên tất cả các Đại lý 0patch trực tuyến. Trong khi đó, những người mới sử dụng nền tảng có thể tạo ra một tài khoản 0patch miễn phí để đăng ký Đại lý 0patch. Ứng dụng vá lỗi được cho là tự động và không cần khởi động lại.