Błąd dnia zerowego w Windows Mark of etykiety internetowe (MotW) są aktywnie wykorzystywane przez atakujących. MotW jest znany z tego, że jest stosowany do wyodrębnionych plików archiwów ZIP, plików wykonywalnych i dokumentów pochodzących z niezaufanych miejsc w sieci. (przez Uśpiony komputer)
Więc gdyby był to ZIP zamiast ISO, czy MotW byłby w porządku?
Niezupełnie. Mimo że Windows próbuje zastosować MotW do wyodrębnionej zawartości ZIP, jest w tym naprawdę dość kiepski.
Nie próbując zbytnio, mam plik ZIP, w którym zawartość NIE jest chroniona przed Mark of the Web. pic.twitter.com/1SOuzfca5q— Will Dormann (@wdormann) 5 lipca 2022
Etykiety służą jako warstwa ochrony i mechanizmu zabezpieczającego, który ostrzega system, w tym inne programy i aplikacje, potencjalnych zagrożeń i złośliwego oprogramowania, jeśli zainstalowany jest określony plik. W związku z tym, gdy atakujący uniemożliwiają zastosowanie etykiet MotW, sygnały ostrzegawcze nie zostaną wykonane, pozostawiając użytkowników nieświadomych zagrożeń, jakie może nieść plik. Na szczęście, chociaż nadal nie ma oficjalnej poprawki ze strony firmy Microsoft dotyczącej tego problemu, 0patch oferuje taką, którą można teraz uzyskać.
„Atakujący, co zrozumiałe, wolą, aby ich złośliwe pliki nie były oznaczane MOTW; ta luka pozwala im na utworzenie archiwum ZIP, w którym wyodrębnione złośliwe pliki nie będą oznaczane”, pisze współzałożyciel firmy 0patch i dyrektor generalny ACROS Security Mitja Kolsek w post wyjaśniający naturę MotW jako ważnego mechanizmu bezpieczeństwa w Windows. „Atakujący może dostarczyć pliki Worda lub Excela w pobranym pliku ZIP, który nie miałby zablokowanych makr z powodu braku MOTW (w zależności od ustawień bezpieczeństwa makr Office) lub uniknąłby kontroli przez Smart App Control”.
Problem został po raz pierwszy zgłoszony przez starszego analityka podatności w firmie Analygence zajmującej się rozwiązaniami IT, Will Dormann. Co ciekawe, Dormann po raz pierwszy przedstawił problem firmie Microsoft w lipcu, ale pomimo przeczytania raportu do sierpnia, poprawka jest nadal niedostępna dla każdego użytkownika systemu Windows, którego dotyczy problem.
Prawie taka sama reakcja została napotkana w przypadku wykrytego wcześniej problemu Dormanna we wrześniu, gdzie odkrył nieaktualną listę blokowania podatnych sterowników Microsoftu, w wyniku czego użytkownicy byli narażeni na szkodliwe sterowniki od 2019 roku. Microsoft oficjalnie nie skomentował problemu, ale kierownik projektu Jeffery Sutherland uczestniczył w serii tweetów Dormanna w październiku, mówiąc, że rozwiązania są już dostępne, aby rozwiązać ten problem.
Na razie raporty mówią, że usterka MotW jest nadal wykorzystywana na wolności, podczas gdy Microsoft wciąż milczy o planach, jak to zrobić Rozwiąż to. Niemniej jednak 0patch oferuje bezpłatne łatki, które mogą służyć jako tymczasowe alternatywy dla różnych systemów Windows dotkniętych problemem, dopóki nie pojawi się rozwiązanie Microsoft. W poście Kolsek pisze, że łatka obejmuje systemy Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 v1803, Windows 7 z lub bez ESU, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 i Windows Server 2008 R2 z lub bez ESU.
Dla obecnych użytkowników 0patch poprawka jest już dostępne na wszystkich agentach 0patch online. Tymczasem nowi użytkownicy platformy mogą utworzyć bezpłatne konto 0patch, aby zarejestrować agenta 0patch. Mówi się, że aplikacja łaty działa automatycznie i nie jest wymagane ponowne uruchomienie.
