已通过 0patch 平台发布了一个免费的非官方补丁,以解决 Windows Mark of the Web (MotW) 安全机制中被积极利用的零日漏洞。
此漏洞使攻击者能够阻止 Windows 在从 Internet 下载的 ZIP 存档中提取的文件上应用 (MotW) 标签。
Windows 使用特殊的“Zone.Id”备用数据流自动将 MotW 标志添加到从不受信任的来源下载的所有文档和可执行文件,包括从下载的 ZIP 存档中提取的文件。
这些 MotW 标签告诉 Windows、Microsoft Office、Web 浏览器和其他应用程序应该怀疑该文件,并将导致向用户显示打开文件可能导致危险行为的警告,例如恶意软件安装在设备。
ANALYGENCE 的高级漏洞分析师 Will Dormann于 7 月向 Microsoft报告了该问题,他首先发现 ZIP 档案未正确添加 MoTW 标志 。
尽管微软在两个多月前打开并阅读了该报告,但在 8 月,该公司尚未发布安全更新来修复该漏洞。
因此,如果它是 ZIP 而不是 ISO,那么 MotW 会好吗?
并不真地。尽管 Windows 尝试将 MotW 应用于提取的 ZIP 内容,但它确实很糟糕。
不用太努力,这里我有一个 ZIP 文件,其中的内容不受 Web 标记的保护。pic.twitter.com/1SOuzfca5q— Will Dormann (@wdormann) 2022 年 7 月 5 日
正如 ACROS Security 首席执行官兼0patch 微补丁服务联合创始人 Mitja Kolsek 所解释的那样,MotW 是一种必不可少的 Windows 安全机制,因为Smart App Control仅适用于带有 MotW 标志的文件,而 Microsoft Office 只会阻止带有 MotW 标签的文档上的宏。
“因此可以理解,攻击者更喜欢他们的恶意文件不被 MOTW 标记;这个漏洞允许他们创建一个 ZIP 存档,这样提取的恶意文件就不会被标记,”Kolsek说。
“攻击者可以在下载的 ZIP 中传递 Word 或 Excel 文件,由于没有 MOTW(取决于 Office 宏安全设置),它们的宏不会被阻止,或者会逃避 Smart App Control 的检查。”
在微软发布修复程序之前免费提供微补丁
自 7 月份向 Microsoft 报告零日漏洞以来,它已被检测为在攻击中被利用以在受害者的系统上传递恶意文件。
在微软发布官方更新以解决该漏洞之前,0patch 已经为以下受影响的 Windows 版本开发了免费补丁:
- Windows 10 v1803 及更高版本
- 带或不带 ESU 的 Windows 7
- 视窗服务器 2022
- 视窗服务器 2019
- 视窗服务器 2016
- 视窗服务器 2012
- 视窗服务器 2012 R2
- 带或不带 ESU 的 Windows Server 2008 R2
要在您的 Windows 设备上安装微补丁,请注册一个 0patch 帐户并安装其代理。
如果没有自定义补丁策略来阻止它,它们将在启动代理后自动应用,无需重新启动系统。
您可以在下面的视频中看到 0patch 的 Windows 微补丁正在运行。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Windows Mark of the Web绕过零日漏洞获得非官方补丁
