Microsoft Windows MotW 漏洞正在被广泛利用； 免费的微补丁可通过 0patch 获得

攻击者正在积极利用 Windows Mark of the Web (MotW) 标签中的零日漏洞。 MotW 以应用于提取的 ZIP 存档文件、可执行文件和源自网络上不受信任的位置的文档而闻名。 （通过 计算机)

因此，如果它是 ZIP 而不是 ISO，那么 MotW 会好吗？
并不真地。 尽管 Windows 尝试将 MotW 应用于提取的 ZIP 内容，但它确实很糟糕。
不用太努力，这里我有一个 ZIP 文件，其中的内容不受 Web 标记的保护。 pic.twitter.com/1SOuzfca5q

-Will Dormann（@wdormann） 2022 年 7 月 5 日

标签用作一层保护和安全机制，如果安装了特定文件，它会警告您的系统（包括其他程序和应用程序）可能存在的威胁和恶意软件。 因此，由于攻击者阻止了 MotW 标签的应用，警告信号将不会被执行，从而使用户忘记了文件可能存在的威胁。 值得庆幸的是，虽然微软仍然没有关于这个问题的官方修复，但 0patch 提供了一个你现在可以获得的。

“因此，可以理解，攻击者更喜欢他们的恶意文件没有被 MOTW 标记； 这个漏洞允许他们创建一个 ZIP 存档，这样提取的恶意文件就不会被标记，”0patch 联合创始人兼 ACROS 安全首席执行官 Mitja Kolsek 在一篇文章中写道 发表 解释 MotW 作为 Windows 中重要安全机制的性质。 “攻击者可以在下载的 ZIP 中传送 Word 或 Excel 文件，由于没有 MOTW（取决于 Office 宏安全设置），它们的宏不会被阻止，或者会逃避 Smart App Control 的检查。”

该问题首先由 IT 解决方案公司 Analygence 的高级漏洞分析师 Will Dormann 报告。 有趣的是，Dormann 在 XNUMX 月份首次向微软介绍了这个问题，但尽管在 XNUMX 月份阅读了报告，但仍然无法为每个受影响的 Windows 用户提供修复程序。

Dormann 在 XNUMX 月发现的早期问题也遇到了几乎相同的反应，他在那里发现 微软过时的易受攻击的驱动程序阻止列表，导致用户自 2019 年以来就暴露在恶意驱动程序中。微软没有正式对此问题发表评论，但项目经理 Jeffery Sutherland 在今年 XNUMX 月参与了 Dormann 的一系列推文，称已经有解决该问题的解决方案。

截至目前，有报道称 MotW 漏洞仍在被广泛利用，而微软仍对如何解决该漏洞的计划保持沉默。 尽管如此，0patch 仍提供免费补丁，可以作为受影响的不同 Windows 系统的临时替代品，直到 Microsoft 解决方案到来。 Kolsek 在帖子中说，该补丁涵盖了 Windows 11 v21H2、Windows 10 v21H2、Windows 10 v21H1、Windows 10 v20H2、Windows 10 v2004、Windows 10 v1909、Windows 10 v1903、Windows 10 v1809、Windows 10 v1803、Windows 7 系统或不带 ESU、Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012、Windows Server 2012 R2 和带或不带 ESU 的 Windows Server 2008 R2。

对于当前的 0patch 用户，该补丁已在所有在线 0patch 代理上可用。 同时，那些刚接触该平台的人可以创建一个 免费的 0patch 帐户 注册一个 0patch 代理。 补丁应用程序据说是自动的，不需要重新启动。