Microsoft Windows MotW 漏洞正在被廣泛利用； 免費的微補丁可通過 0patch 獲得

攻擊者正在積極利用 Windows Mark of the Web (MotW) 標籤中的零日漏洞。 MotW 以應用於提取的 ZIP 存檔文件、可執行文件和源自網絡上不受信任的位置的文檔而聞名。 （通過 計算機)

因此，如果它是 ZIP 而不是 ISO，那麼 MotW 會好嗎？
並不真地。 儘管 Windows 嘗試將 MotW 應用於提取的 ZIP 內容，但它確實很糟糕。
不用太努力，這裡我有一個 ZIP 文件，其中的內容不受 Web 標記的保護。 pic.twitter.com/1SOuzfca5q

-Will Dormann（@wdormann） 2022 年 7 月 5 日

標籤用作一層保護和安全機制，如果安裝了特定文件，它會警告您的系統（包括其他程序和應用程序）可能存在的威脅和惡意軟件。 因此，由於攻擊者阻止了 MotW 標籤的應用，警告信號將不會被執行，從而使用戶忘記了文件可能存在的威脅。 值得慶幸的是，雖然微軟仍然沒有關於這個問題的官方修復，但 0patch 提供了一個你現在可以獲得的。

“因此，可以理解，攻擊者更喜歡他們的惡意文件沒有被 MOTW 標記； 這個漏洞允許他們創建一個 ZIP 存檔，這樣提取的惡意文件就不會被標記，”0patch 聯合創始人兼 ACROS 安全首席執行官 Mitja Kolsek 在一篇文章中寫道 發表 解釋 MotW 作為 Windows 中重要安全機制的性質。 “攻擊者可以在下載的 ZIP 中傳送 Word 或 Excel 文件，由於沒有 MOTW（取決於 Office 宏安全設置），它們的宏不會被阻止，或者會逃避 Smart App Control 的檢查。”

該問題首先由 IT 解決方案公司 Analygence 的高級漏洞分析師 Will Dormann 報告。 有趣的是，Dormann 在 XNUMX 月份首次向微軟介紹了這個問題，但儘管在 XNUMX 月份閱讀了報告，但仍然無法為每個受影響的 Windows 用戶提供修復程序。

Dormann 在 XNUMX 月發現的早期問題也遇到了幾乎相同的反應，他在那裡發現 微軟過時的易受攻擊的驅動程序阻止列表，導致用戶自 2019 年以來就暴露在惡意驅動程序中。微軟沒有正式對此問題發表評論，但項目經理 Jeffery Sutherland 在今年 XNUMX 月參與了 Dormann 的一系列推文，稱已經有解決該問題的解決方案。

截至目前，有報導稱 MotW 漏洞仍在被廣泛利用，而微軟仍對如何解決該漏洞的計劃保持沉默。 儘管如此，0patch 仍提供免費補丁，可以作為受影響的不同 Windows 系統的臨時替代品，直到 Microsoft 解決方案到來。 Kolsek 在帖子中說，該補丁涵蓋了 Windows 11 v21H2、Windows 10 v21H2、Windows 10 v21H1、Windows 10 v20H2、Windows 10 v2004、Windows 10 v1909、Windows 10 v1903、Windows 10 v1809、Windows 10 v1803、Windows 7 系統或不帶 ESU、Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012、Windows Server 2012 R2 和帶或不帶 ESU 的 Windows Server 2008 R2。

對於當前的 0patch 用戶，該補丁已在所有在線 0patch 代理上可用。 同時，那些剛接觸該平台的人可以創建一個 免費的 0patch 帳戶 註冊一個 0patch 代理。 補丁應用程序據說是自動的，不需要重新啟動。