最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

微软修复了用于通过ISO文件删除恶意软件的MoTW零日漏洞

网络安全 快米云 来源:快米云 22浏览

Windows 徽标

Windows 修复了一个错误,该错误阻止 Web 标记传播到下载的 ISO 文件中的文件,对恶意软件分发者和开发人员造成巨大打击。

对于那些不熟悉 Web 标记 (MoTW) 的人来说,它是一种 Windows 安全功能,可以标记来自 Internet 的文件,以便它们被操作系统和已安装的应用程序标记为可疑。

MoTW 标志作为称为“Zone.Identifier”的备用数据流添加到文件中,其中包括文件来自哪个 URL 安全区域 、引用者和文件的 URL。

Alternate Data Streams 是一个 NTFS 文件属性,可以使用专用工具或命令提示符中的“dir /R”命令查看并直接在记事本中打开,如下所示。 

Mark-of-the-Web 备用数据流
一个 Mark-of-the-Web 备用数据流
来源:news.zzqidc.com

当尝试打开带有 Web 标记的文件时,Windows 将显示一个安全警告,提示应谨慎处理该文件。

“虽然来自 Internet 的文件很有用,但这种文件类型可能会损害您的计算机。如果您不信任来源,请不要打开此软件,”来自 Windows 的警告中写道。

打开带有 MoTW 标志的文件时的 Windows 安全警告
打开带有 MoTW 标志的文件时的 Windows 安全警告
来源:news.zzqidc.com

Microsoft Office 还使用 MoTW 标志来确定是否应在受保护的视图中打开文件,从而导致显示警告并禁用宏。

Microsoft Office 受保护的视图
Microsoft Office 保护 查看
源:news.zzqidc.com

微软在 ISO 中修复了 Mark of the Web

作为 11 月补丁星期二 更新的一部分,Microsoft 修复了许多漏洞,这些漏洞允许攻击者制作可以绕过 Web 安全功能标记的文件。

更新中包含一个意外修复,修复了威胁行为者通常在网络钓鱼活动中滥用的错误。

根据 Microsoft MSRC 漏洞和缓解团队的工程师 Bill Demirkapi 的说法,修复了一个错误,该错误阻止了 MoTW 标志传播到 ISO 磁盘映像中的文件。

比尔·德米尔卡皮推特

一段时间以来,威胁参与者一直在分发 ISO 磁盘映像作为网络钓鱼活动的附件,以用恶意软件感染目标。

从 Windows 8 开始,可以通过双击打开 ISO 文件,导致 Windows 将其作为 DVD 驱动器安装在新的驱动器号下。

虽然下载或附加的 ISO 文件将包含 Web 标记并在打开时发出警告,但该错误导致 MoTW 标志不会传播到非 Microsoft Office 文件类型,例如 Windows 快捷方式(LNK 文件)。

因此,如果用户打开 ISO 附件并双击随附的 LNK 文件,它将自动运行,而 Windows 不会显示安全警告,如下所示。

在 ISO 映像中演示 LNK 文件绕过 MoTW 警告
绕过 MoTW 警告在 ISO 映像中演示 LNK 文件
来源:news.zzqidc.com

在安装CVE-2022-41091的 11 月补丁星期二安全更新 后,Windows 现在会将 Web 标记从 ISO 文件传播到其所有内容,并在启动 LNK 文件时正确显示安全警告。

网络标记传播到 ISO 内的文件
传播到 ISO 文件中的 Web 标记
来源:news.zzqidc.com

修复了另外两个 MoTW 错误

除了修复 ISO MoTW 传播之外,11 月的更新还修复了 ANALYGENCE 的高级漏洞分析师Will Dormann发现并报告的两个 MoTW 错误,其中一个被威胁者积极利用。

第一个错误导致 Windows SmartScreen 在 Windows 11 22H2 上失败,并在直接从 ZIP 档案打开文件时绕过 Web 标记警告。

第二个漏洞被称为“ ZippyReads ”,只需创建一个包含只读文件的 ZIP 文件即可利用。在 Windows 资源管理器中打开此存档时,MoTW 标志不会传播到只读文件并绕过安全警告。

这两个漏洞已作为 CVE-2022-41049的 11 月 Windows 安全更新的一部分得到修复。

然而,Dormann 发现的另一个错误仍未修复,它允许独立的 JavaScript 文件绕过 MoTW 警告 ,并在文件使用格式错误的签名进行签名时自动执行脚本。

由于分发 Magniber 勒索软件的威胁行为者正在积极利用此漏洞,我们可能很快就会看到修复程序。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软修复了用于通过ISO文件删除恶意软件的MoTW零日漏洞