Через платформу 0patch выпущен бесплатный неофициальный патч, устраняющий активно эксплуатируемый недостаток нулевого дня в механизме безопасности Windows Mark of the Web (MotW).
Этот недостаток позволяет злоумышленникам предотвратить применение Windows меток (MotW) к файлам, извлеченным из ZIP-архивов, загруженных из Интернета.
Windows автоматически добавляет флаги MotW ко всем документам и исполняемым файлам, загруженным из ненадежных источников, включая файлы, извлеченные из загруженных ZIP-архивов, используя специальную ‘Zone.Альтернативный поток данных ID.
Эти метки MotW сообщают Windows, Microsoft Office, веб-браузерам и другим приложениям, что к файлу следует относиться с подозрением, и выводят на экран предупреждение о том, что открытие файлов может привести к опасному поведению, например, к установке на устройство вредоносного ПО.
Уилл Дорманн, старший аналитик по уязвимостям в ANALYGENCE, который первым заметил, что архивы ZIP не добавляют должным образом флаги MoTW, сообщил об этой проблеме в Microsoft в июле.
Хотя Microsoft открыла и прочитала отчет более двух месяцев назад, в августе, компания до сих пор не выпустила обновление безопасности для устранения недостатка.
Как объясняет генеральный директор ACROS Security и соучредитель службы микропатчинга 0patch Митя Колсек, MotW является важным механизмом безопасности Windows, поскольку Smart App Control будет работать только с файлами с флагами MotW, а Microsoft Office будет блокировать макросы только в документах, помеченных метками MotW.
«Поэтому злоумышленники по понятным причинам предпочитают, чтобы их вредоносные файлы не были помечены MOTW; эта уязвимость позволяет им создать ZIP-архив, в котором извлеченные вредоносные файлы не будут помечены». сказал Колсек.
«Злоумышленник может передать файлы Word или Excel в загруженном ZIP, макросы в которых не будут заблокированы из-за отсутствия MOTW (в зависимости от настроек безопасности макросов Office), или избежать проверки Smart App Control».»
Бесплатные микропатчи до тех пор, пока Microsoft не выпустит исправление
С тех пор как о «нулевом дне» было сообщено Microsoft в июле, он был обнаружен как используемый в атаках для доставки вредоносных файлов на системы жертв.
Пока Microsoft не выпустит официальные обновления для устранения дефекта, 0patch разработал бесплатные патчи для следующих затронутых версий Windows:
- Windows 10 v1803 и более поздние версии
- Windows 7 с ESU или без него
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008 R2 с ESU или без него
Чтобы установить микропатчи на устройство Windows, зарегистрируйте учетную запись 0patch и установите ее агент.
Они будут применены автоматически после запуска агента, не требуя перезагрузки системы, если нет пользовательских политик исправления, блокирующих их.
Image:www.bleepingcomputer.com