ข้อบกพร่องซีโร่เดย์ในเครื่องหมาย Windows ของ ป้ายกำกับเว็บ (MotW) กำลังถูกโจมตีโดยผู้โจมตี เป็นที่ทราบกันดีว่า MotW ถูกนำไปใช้กับไฟล์เก็บถาวร ZIP ที่แยกออกมา ไฟล์เรียกทำงาน และเอกสารที่มาจากสถานที่ที่ไม่น่าเชื่อถือบนเว็บ (ผ่าน Bleeping Computer)
ถ้าเป็น ZIP แทนที่จะเป็น ISO MotW จะดีไหม
ไม่เลย แม้ว่า Windows จะพยายามใช้ MotW กับเนื้อหา ZIP ที่แยกออกมา แต่ก็ค่อนข้างแย่
โดยไม่ต้องพยายามมากเกินไป ที่นี่ฉันมีไฟล์ ZIP ที่เนื้อหาไม่มีการป้องกันจาก Mark of the Web pic.twitter.com/1SOuzfca5q— Will Dormann (@wdormann) 5 กรกฎาคม 2565
ป้ายกำกับทำหน้าที่เป็นชั้นของกลไกการป้องกันและความปลอดภัยที่เตือนคุณ ระบบ รวมถึงโปรแกรมและแอปอื่น ๆ ของภัยคุกคามและมัลแวร์ที่เป็นไปได้ หากมีการติดตั้งไฟล์เฉพาะ ดังนั้น ด้วยผู้โจมตีที่ป้องกันแอปพลิเคชันของป้ายกำกับ MotW สัญญาณเตือนจะไม่ทำงาน ผู้ใช้จึงมองข้ามภัยคุกคามที่ไฟล์อาจมี โชคดีที่แม้ว่าจะยังไม่มีการแก้ไขอย่างเป็นทางการจาก Microsoft เกี่ยวกับปัญหานี้ แต่ 0patch ขอเสนอสิ่งที่คุณสามารถรับได้ในขณะนี้
“ผู้โจมตีจึงเข้าใจดีว่าต้องการไฟล์ที่เป็นอันตรายของพวกเขาที่ไม่ได้ถูกทำเครื่องหมายด้วย MOTW; ช่องโหว่นี้ทำให้พวกเขาสร้างไฟล์ ZIP โดยที่ไฟล์ที่เป็นอันตรายจะไม่ถูกทำเครื่องหมาย” ผู้ร่วมก่อตั้ง 0patch และ CEO ของ ACROS Security Mitja Kolsek เขียนใน โพสต์ อธิบายลักษณะของ MotW ว่าเป็นกลไกการรักษาความปลอดภัยที่สำคัญใน Windows “ผู้โจมตีสามารถส่งไฟล์ Word หรือ Excel ใน ZIP ที่ดาวน์โหลดมาซึ่งจะไม่ถูกบล็อกมาโครเนื่องจากไม่มี MOTW (ขึ้นอยู่กับการตั้งค่าความปลอดภัยของแมโคร Office) หรืออาจหลีกเลี่ยงการตรวจสอบโดย Smart App Control
ปัญหานี้ได้รับการรายงานครั้งแรกโดยนักวิเคราะห์ช่องโหว่อาวุโสของบริษัทวิเคราะห์ด้านไอทีที่ชื่อ Will Dormann ที่น่าสนใจคือ Dormann ได้แนะนำปัญหาให้กับ Microsoft เป็นครั้งแรกในเดือนกรกฎาคม แต่ถึงแม้จะอ่านรายงานในเดือนสิงหาคมแล้ว ผู้ใช้ Windows ทุกคนที่ได้รับผลกระทบก็ยังไม่สามารถแก้ไขปัญหาได้
พบคำตอบเดียวกันโดยปัญหาก่อนหน้านี้ที่ค้นพบ โดย Dormann ในเดือนกันยายน ซึ่งเขาค้นพบรายการบล็อกไดรเวอร์ที่มีช่องโหว่ที่ล้าสมัยของ Microsoft ส่งผลให้ผู้ใช้ถูกเปิดเผยต่อไดรเวอร์ที่เป็นอันตรายตั้งแต่ปี 2019 Microsoft ไม่ได้ให้ความเห็นอย่างเป็นทางการเกี่ยวกับปัญหานี้ แต่ผู้จัดการโครงการ Jeffery Sutherland เข้าร่วมในชุดทวีตของ Dormann ในเดือนตุลาคมนี้ โดยระบุว่ามีวิธีแก้ปัญหาแล้ว
ณ ตอนนี้ มีรายงานระบุว่าข้อบกพร่อง MotW ยังคงถูกนำไปใช้ในทางที่ผิด ในขณะที่ Microsoft ยังคงเป็นแม่เกี่ยวกับแผนว่าจะดำเนินการอย่างไร แก้ไขมัน อย่างไรก็ตาม 0patch เสนอแพตช์ฟรีที่สามารถใช้เป็นทางเลือกชั่วคราวสำหรับระบบ Windows ต่างๆ ที่ได้รับผลกระทบจนกว่าโซลูชันของ Microsoft จะมาถึง ในโพสต์ Kolsek กล่าวว่าแพตช์ครอบคลุมระบบของ Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 v1803, Windows 7 ด้วย หรือไม่มี ESU, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 และ Windows Server 2008 R2 ที่มีหรือไม่มี ESU
สำหรับผู้ใช้ 0patch ปัจจุบัน แพตช์คือ มีอยู่แล้วในตัวแทน 0patch ออนไลน์ทั้งหมด ในขณะเดียวกัน ผู้ที่เพิ่งเริ่มใช้แพลตฟอร์มนี้สามารถสร้างบัญชี 0patch ฟรีเพื่อลงทะเบียนตัวแทน 0patch ได้ แอปพลิเคชันแพตช์บอกว่าเป็นอัตโนมัติและไม่จำเป็นต้องรีบูต
