Windows マークのゼロデイ欠陥Web (MotW) ラベルは攻撃者によって積極的に悪用されています。 MotW は、Web 上の信頼できない場所から抽出された ZIP アーカイブ ファイル、実行可能ファイル、およびドキュメントに適用されることで知られています。 (Bleeping Computer)
では、ISO ではなく ZIP である場合、MotW で問題ないでしょうか?
そうではありません。 Windows は解凍された ZIP コンテンツに MotW を適用しようとしますが、実際にはかなり下手です。 pic.twitter.com/1SOuzfca5q— ウィル・ドーマン (@wdormann) 2022 年 7 月 5 日
ラベルは、あなたの特定のファイルがインストールされている場合、他のプログラムやアプリを含むシステムに、脅威やマルウェアの可能性があります。したがって、攻撃者が MotW ラベルの適用を阻止すると、警告信号は実行されず、ユーザーはファイルが持つ可能性のある脅威に気付かないままになります。ありがたいことに、この問題に関する Microsoft からの正式な修正はまだありませんが、0patch は現在入手できる修正を提供しています。この脆弱性により、抽出された悪意のあるファイルがマークされないように、ZIP アーカイブを作成できます」と、0patch の共同創設者で ACROS Security CEO の Mitja Kolsek は post で、Windows の重要なセキュリティ メカニズムとしての MotW の性質を説明しています。 「攻撃者は、MOTW がないために (Office マクロのセキュリティ設定に応じて) マクロがブロックされていない、ダウンロードした ZIP で Word または Excel ファイルを配信するか、Smart App Control による検査を逃れる可能性があります。」
この問題は、IT ソリューション企業 Analygence のシニア脆弱性アナリストである Will Dormann によって最初に報告されました。興味深いことに、Dormann は 7 月に最初にこの問題を Microsoft に報告しましたが、8 月までにレポートを読んだにもかかわらず、影響を受けるすべての Windows ユーザーに修正プログラムを提供することはまだできていません。 9 月に Dormann によって、彼は Microsoft の古い脆弱なドライバー ブロックリストを発見し、2019 年以降、ユーザーが悪意のあるドライバーにさらされていることを発見しました。
現在のところ、MotW の脆弱性は依然として悪用されているという報告がありますが、Microsoft はその方法に関する計画についてまだ口を閉ざしています。それを解決します。それにもかかわらず、0patch は、マイクロソフトのソリューションが到着するまで、影響を受けるさまざまな Windows システムの一時的な代替手段として機能する無料のパッチを提供しています。投稿の中で、Kolsek は、パッチが Windows 11 v21H2、Windows 10 v21H2、Windows 10 v21H1、Windows 10 v20H2、Windows 10 v2004、Windows 10 v1909、Windows 10 v1903、Windows 10 v1809、Windows 10 v1803、Windows 7 のシステムをカバーすると述べています。
現在の 0patch ユーザーの場合、パッチはすべてのオンライン 0patch Agent ですでに利用可能です。一方、プラットフォームを初めて使用する場合は、無料の 0patch アカウントを作成して 0patch エージェントを登録できます。パッチの適用は自動であると言われ、再起動は必要ありません。
