Uma falha de dia zero no Windows Mark of os rótulos da Web (MotW) estão sendo ativamente explorados por invasores. MotW é conhecido por ser aplicado a arquivos ZIP extraídos, executáveis e documentos originários de locais não confiáveis na web. (via Computador com sinal sonoro)
Então, se fosse um ZIP em vez de ISO, o MotW seria bom?
Na verdade não. Mesmo que o Windows tente aplicar o MotW ao conteúdo ZIP extraído, é realmente muito ruim nisso.
Sem tentar muito, aqui eu tenho um arquivo ZIP onde o conteúdo não retém proteção da Marca da Web. pic.twitter.com/1SOuzfca5q— Will Dormann (@wdormann) 5 de julho de 2022
Os rótulos servem como uma camada de proteção e mecanismo de segurança que avisa seu sistema, incluindo outros programas e aplicativos, de possíveis ameaças e malware se um arquivo específico estiver instalado. Assim, com os invasores impedindo a aplicação dos rótulos MotW, os sinais de alerta não serão executados, deixando os usuários alheios às ameaças que um arquivo pode ter. Felizmente, embora ainda não haja uma correção oficial da Microsoft em relação a esse problema, o 0patch está oferecendo uma que você pode obter agora.
“Os invasores, portanto, compreensivelmente preferem que seus arquivos maliciosos não sejam marcados com MOTW; essa vulnerabilidade permite que eles criem um arquivo ZIP de modo que os arquivos maliciosos extraídos não sejam marcados”, escreve a cofundadora da 0patch e CEO da ACROS Security, Mitja Kolsek, em um post explicando a natureza do MotW como um importante mecanismo de segurança no Windows. “Um invasor pode entregar arquivos do Word ou Excel em um ZIP baixado que não teria suas macros bloqueadas devido à ausência do MOTW (dependendo das configurações de segurança de macro do Office) ou escaparia da inspeção do Smart App Control.”
O problema foi relatado pela primeira vez por um analista sênior de vulnerabilidades da empresa de soluções de TI Analygence chamado Will Dormann. Curiosamente, Dormann apresentou o problema à Microsoft em julho, mas apesar de ter o relatório lido em agosto, uma correção ainda não está disponível para todos os usuários do Windows afetados.
Quase a mesma resposta foi encontrada pelo problema anterior descoberto por Dormann em setembro, onde ele descobriu a lista de bloqueio de drivers vulneráveis desatualizados da Microsoft, resultando em usuários sendo expostos a drivers maliciosos desde 2019. A Microsoft não comentou oficialmente sobre o problema, mas o gerente de projeto Jeffery Sutherland participou da série de tweets de Dormann em outubro, dizendo que as soluções já estão disponíveis para resolver o problema.
A partir de agora, os relatórios estão dizendo que a falha do MotW ainda está sendo explorada em estado selvagem, enquanto a Microsoft ainda não fala sobre os planos de como isso Resolva. No entanto, 0patch está oferecendo patches gratuitos que podem servir como alternativas temporárias para diferentes sistemas Windows afetados até que uma solução da Microsoft chegue. No post, Kolsek diz que o patch cobre sistemas do Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 v1803, Windows 7 com ou sem ESU, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 e Windows Server 2008 R2 com ou sem ESU.
Para usuários atuais de 0patch, o patch é já está disponível em todos os Agentes 0patch online. Enquanto isso, os novos na plataforma podem criar uma conta 0patch gratuita para registrar um agente 0patch. Diz-se que o aplicativo de correção é automático e não é necessário reinicializar.
