Microsoft 修复了威胁行为者用来规避 Windows SmartScreen 安全功能并提供 Magniber 勒索软件和 Qbot 恶意软件有效负载的安全漏洞。
攻击者使用恶意的独立 JavaScript 文件来利用CVE-2022-44698零日漏洞来绕过 Windows 显示的 Mark-of-the-Web 安全警告,以警告用户应谨慎对待来自 Internet 的文件。
“攻击者可以制作一个恶意文件来逃避 Web 标记 (MOTW) 防御,从而导致完整性和可用性的安全功能(例如 Microsoft Office 中的受保护视图,它依赖于 MOTW 标记)的有限损失,”Redmond在上解释道周二。
根据 Microsoft 的说法,此安全漏洞只能使用三种攻击向量进行利用:
- 在基于 Web 的攻击场景中,攻击者可能拥有一个利用安全功能绕过的恶意网站。
- 在电子邮件或即时消息攻击场景中,攻击者可以向目标用户发送特制的 .url 文件以利用绕过。
- 受感染的网站或接受或托管用户提供的内容的网站可能包含特制内容以利用安全功能绕过。
但是,在所有这些情况下,威胁行为者都必须诱使他们的目标打开恶意文件或访问具有 CVE-2022-44698 漏洞的攻击者控制的网站。
正如该公司告诉 BleepingComputer的那样,自 10 月下旬以来,微软一直致力于修复这个被积极利用的零日漏洞,并在周二的 2022 年 12 月补丁中发布了安全更新来解决这个零日漏洞。
在恶意软件攻击中被利用
HP 的威胁情报团队在 10 月首次报告称,网络钓鱼攻击使用 standalone.JS JavaScript 文件分发Magniber 勒索软件,这些文件经过ANALYGENCE 的高级漏洞分析师 Will Dormann发现的格式错误的数字签名。
这将导致 SmartCheck 出错并允许恶意文件在不抛出任何安全警告的情况下执行并安装 Magniber 勒索软件,即使它被标记为 MoTW 标志。

上个月,同样的 Windows 零日漏洞也被滥用在网络钓鱼攻击中,以在不显示 MOTW 安全警告的情况下投放 Qbot 恶意软件。
正如安全研究人员 ProxyLife发现的那样,最近的 QBot 网络钓鱼活动背后的威胁参与者通过分发使用与 Magniber 勒索软件攻击中使用的格式相同的畸形密钥签名的 JS 文件,切换到 Windows Mark of the Web 零日攻击。
QBot(又名 Qakbot)是一种 Windows 银行木马,已发展成为恶意软件植入程序,可窃取电子邮件用于后续网络钓鱼攻击或提供额外的有效负载,例如Brute Ratel、Cobalt Strike和其他恶意软件。
Egregor 、Prolock和Black Basta勒索软件操作也已知与 QBot 合作,以访问受害者的公司网络。
在2022 年 12 月补丁星期二期间,微软还修复了一个公开披露的零日漏洞 (CVE-2022-44710),该漏洞允许攻击者在未打补丁的 Windows 11 系统上获得 SYSTEM 权限。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软修补了用于投放勒索软件的Windows零日漏洞