Chyba zero-day ve známce Windows štítky Web (MotW) aktivně zneužívají útočníci. MotW je známé tím, že se používá na extrahované archivní soubory ZIP, spustitelné soubory a dokumenty pocházející z nedůvěryhodných míst na webu. (přes Bleeping Computer)
Takže kdyby to bylo ZIP místo ISO, bylo by MotW v pořádku?
Vlastně ne. I když se Windows pokouší aplikovat MotW na extrahovaný obsah ZIP, je na tom opravdu dost špatně.
Aniž bych se příliš snažil, mám zde soubor ZIP, kde obsah nezachovává ŽÁDNOU ochranu před Mark of the Web. pic.twitter.com/1SOuzfca5q— Will Dormann (@wdormann) 5. července 2022
Štítky slouží jako vrstva ochrany a bezpečnostního mechanismu, který varuje vaše systému, včetně dalších programů a aplikací, možných hrozeb a malwaru, pokud je nainstalován konkrétní soubor. Když útočníci brání použití štítků MotW, varovné signály se nespustí, takže uživatelé zapomenou na hrozby, které soubor může mít. Naštěstí, ačkoli stále neexistuje oficiální oprava od Microsoftu ohledně tohoto problému, 0patch nabízí jednu, kterou můžete získat hned.
„Útočníci proto pochopitelně dávají přednost tomu, aby jejich škodlivé soubory nebyly označeny MOTW; tato zranitelnost jim umožňuje vytvořit archiv ZIP tak, aby extrahované škodlivé soubory nebyly označeny,“ píše spoluzakladatel 0patch a CEO ACROS Security Mitja Kolsek v příspěvek vysvětlující povahu MotW jako důležitého bezpečnostního mechanismu ve Windows. „Útočník by mohl doručit soubory Wordu nebo Excelu ve staženém ZIP, jehož makra by nebyla blokována kvůli absenci MOTW (v závislosti na nastavení zabezpečení maker Office), nebo by unikli kontrole Smart App Control.“
Tento problém byl poprvé nahlášen starším analytikem zranitelností ve společnosti Analygence zabývající se IT řešeními jménem Will Dormann. Je zajímavé, že Dormann poprvé představil problém společnosti Microsoft v červenci, ale přestože byla zpráva přečtena do srpna, oprava stále není k dispozici pro všechny dotčené uživatele systému Windows.
Téměř stejnou odezvu zaznamenal dřívější odhalený problém by Dormann v září, kde objevil zastaralý seznam zranitelných ovladačů společnosti Microsoft, což vedlo k tomu, že uživatelé byli od roku 2019 vystaveni škodlivým ovladačům. Microsoft se k problému oficiálně nevyjádřil, ale projektový manažer Jeffery Sutherland se podílel na sérii tweetů společnosti Dormann letos v říjnu s tím, že řešení jsou již k dispozici k vyřešení tohoto problému.
V současné době zprávy říkají, že chyba MotW je stále využívána ve volné přírodě, zatímco Microsoft stále mlčí o plánech, jak to bude vyřešit to. Nicméně 0patch nabízí bezplatné opravy, které mohou sloužit jako dočasné alternativy pro různé ovlivněné systémy Windows, dokud nepřijde řešení společnosti Microsoft. V příspěvku Kolsek říká, že oprava pokrývá systémy Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 v18 03 nebo bez ESU, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 a Windows Server 2008 R2 s nebo bez ESU.
Pro současné uživatele opravy 0 je oprava již k dispozici u všech online agentů 0patch. Mezitím si noví uživatelé platformy mohou vytvořit bezplatný účet 0patch a zaregistrovat si agenta 0patch. Opravná aplikace je údajně automatická a není potřeba žádný restart.