Une faille zero-day dans la marque Windows de les étiquettes Web (MotW) sont activement exploitées par des attaquants. MotW est connu pour être appliqué aux fichiers d’archives ZIP extraits, aux exécutables et aux documents provenant d’endroits non fiables sur le Web. (via Bleeping Computer)

Donc, si c’était un ZIP au lieu d’ISO, est-ce que MotW irait bien ?
Pas vraiment. Même si Windows essaie d’appliquer MotW au contenu ZIP extrait, c’est vraiment très mauvais.
Sans trop d’efforts, j’ai ici un fichier ZIP où le contenu ne conserve AUCUNE protection de Mark of the Web. pic.twitter.com/1SOuzfca5q

— Will Dormann (@wdormann) 5 juillet 2022

Les étiquettes servent de couche de protection et de mécanisme de sécurité qui avertit votre système, y compris d’autres programmes et applications, des menaces et des logiciels malveillants possibles si un fichier spécifique est installé. Ainsi, les attaquants empêchant l’application des étiquettes MotW, les signaux d’avertissement ne seront pas exécutés, laissant les utilisateurs inconscients des menaces qu’un fichier pourrait avoir. Heureusement, bien qu’il n’y ait toujours pas de correctif officiel de Microsoft concernant ce problème, 0patch en propose un que vous pouvez obtenir maintenant.

“Les attaquants préfèrent donc naturellement que leurs fichiers malveillants ne soient pas marqués avec MOTW ; cette vulnérabilité leur permet de créer une archive ZIP de sorte que les fichiers malveillants extraits ne seront pas marqués », écrit Mitja Kolsek, co-fondateur de 0patch et PDG d’ACROS Security, dans un post expliquant la nature de MotW en tant que mécanisme de sécurité important dans Windows.”Un attaquant pourrait livrer des fichiers Word ou Excel dans un ZIP téléchargé dont les macros ne seraient pas bloquées en raison de l’absence du MOTW (selon les paramètres de sécurité des macros Office), ou échapperaient à l’inspection par Smart App Control.”

Le problème a été signalé pour la première fois par Will Dormann, analyste principal des vulnérabilités de la société de solutions informatiques Analygence. Fait intéressant, Dormann a présenté le problème à Microsoft pour la première fois en juillet, mais malgré la lecture du rapport en août, un correctif n’est toujours pas disponible pour chaque utilisateur Windows concerné.

Presque la même réponse a été rencontrée par le problème précédent découvert par Dormann en septembre, où il a découvert la liste de blocage des pilotes vulnérables obsolète de Microsoft, exposant les utilisateurs à des pilotes malveillants depuis 2019. Microsoft n’a pas officiellement commenté le problème, mais le chef de projet Jeffery Sutherland a participé à la série de tweets de Dormann. en octobre, indiquant que des solutions sont déjà disponibles pour résoudre le problème.

À l’heure actuelle, des rapports indiquent que la faille MotW est toujours exploitée à l’état sauvage, tandis que Microsoft ne dit toujours rien sur les plans sur la façon dont il Résolvez le. Néanmoins, 0patch propose des correctifs gratuits qui peuvent servir d’alternatives temporaires pour les différents systèmes Windows concernés jusqu’à l’arrivée d’une solution Microsoft. Dans le message, Kolsek indique que le correctif couvre les systèmes Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 v1803, Windows 7 avec ou sans ESU, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 et Windows Server 2008 R2 avec ou sans ESU.

Pour les utilisateurs actuels de 0patch, le correctif est déjà disponible sur tous les agents 0patch en ligne. Pendant ce temps, les nouveaux utilisateurs de la plate-forme peuvent créer un compte 0patch gratuit pour enregistrer un agent 0patch. L’application du correctif est censée être automatique et aucun redémarrage n’est nécessaire.

Categories: IT Info