积极利用的 Windows MoTW 零日漏洞获得非官方补丁-VPS资讯_海外云服务器资讯_海外服务器资讯

被火包围的 Windows 徽标

已针对积极利用的零日漏洞发布了一个免费的非官方补丁，该补丁允许使用格式错误的签名签名的文件绕过 Windows 10 和 Windows 11 中的 Mark-of-the-Web 安全警告。

上周末，攻击者正在使用独立的 JavaScript 文件在受害者的设备上安装 Magniber 勒索软件。

当用户从 Internet 下载文件时，Microsoft 会在文件中添加 Mark-of-the-Web 标志，从而导致操作系统在文件启动时显示安全警告，如下所示。

使这些 Magniber JavaScript 文件脱颖而出的原因在于，即使它们包含 Web 标记，Windows 在启动时也不会显示任何安全警告。

在 ANALYGENCE 的高级漏洞分析师Will Dormann分析后，他发现 JavaScript 文件是使用格式错误的签名进行数字签名的。

当打开具有这些格式错误的签名之一的恶意文件时，Windows 将自动允许程序运行，而不是被 Microsoft SmartScreen 标记并显示安全警告。

下图演示了该漏洞如何允许具有格式错误签名的文件（’calc-othersig.js’）绕过 Mark-of-the-Web 安全警告。

微软告诉 BleepingComputer，他们知道这个问题并正在调查它。

免费的非官方补丁发布

由于这个零日漏洞在勒索软件攻击中被积极利用，0patch 微补丁服务决定发布一个非官方修复程序，在微软发布官方安全更新之前可以使用该修复程序。

在 0patch 博客文章中，联合创始人 Mitja Kolsek 解释说，此错误是由 Windows SmartScreen 无法解析文件中格式错误的签名引起的。

当 SmartScreen 无法解析签名时，Windows 将错误地允许程序运行而不是显示错误。

“Patrick 和 Will 发现的格式错误的签名导致 SmartScreen.exe 在无法解析签名时引发异常，从而导致 SmartScreen 返回错误，”Kolsek 解释说。

“我们现在知道的意思是‘奔跑’。”

Kolsek 警告说，尽管他们的补丁修复了大多数攻击场景，但也可能存在绕过他的补丁的情况。

“虽然我们的补丁修复了最明显的缺陷，但它的实用性取决于应用程序使用 shdocvw.dll 中的 DoSafeOpenPromptForShellExe 函数打开文件，而不是其他机制，”Kolsek 警告说。

“我们不知道 Windows 中还有另一种这样的机制，但它在技术上可能存在。”

在微软发布官方更新以解决该漏洞之前，0patch 已经为以下受影响的 Windows 版本开发了免费补丁：

要在您的 Windows 设备上安装微补丁，您需要注册一个免费的 0patch 帐户并安装其代理。

安装代理后，如果没有自定义补丁策略阻止它，补丁将自动应用，无需重新启动系统。

您可以在下面的视频中看到 0patch 的 Windows 微补丁正在运行。