Μια δωρεάν ανεπίσημη ενημέρωση κώδικα που κυκλοφόρησε μέσω της πλατφόρμας 0patch, αντιμετωπίζει ένα ελάττωμα zero-day που χρησιμοποιείται ενεργά στον μηχανισμό ασφαλείας του Windows Mark of the Web (MotW).
Δείτε επίσης: 900 servers παραβιάστηκαν με τη χρήση μιας ευπάθειας zero-day Zimbra
Αυτό το ελάττωμα επιτρέπει στους εισβολείς να εμποδίζουν τα Windows να εφαρμόζουν ετικέτες (MotW) σε αρχεία που εξάγονται από αρχεία ZIP που έχουν ληφθεί από το Διαδίκτυο.
Τα Windows προσθέτουν αυτόματα ετικέτες MotW σε όλα τα έγγραφα και τα εκτελέσιμα αρχεία που λαμβάνονται από μη αξιόπιστες πηγές, συμπεριλαμβανομένων των αρχείων που εξάγονται από αρχεία ZIP που έχουν ληφθεί, χρησιμοποιώντας μια ειδική εναλλακτική ροή δεδομένων «Zone.Id».
Αυτές οι ετικέτες MotW λένε στα Windows, το Microsoft Office, τα προγράμματα περιήγησης ιστού και άλλες εφαρμογές, υποδηλώνουν ότι το αρχείο πρέπει να αντιμετωπίζεται με καχυποψία και οδηγούν σε εμφάνιση προειδοποιήσεων σχετικά με το ότι το άνοιγμα των αρχείων θα μπορούσε να οδηγήσει σε επικίνδυνη συμπεριφορά, όπως εγκατάσταση κακόβουλου λογισμικού στο συσκευή.
Το ζήτημα αναφέρθηκε στη Microsoft τον Ιούλιο, από τον Will Dormann, ανώτερο αναλυτή ευπάθειας στο ANALYGENCE, ο οποίος εντόπισε για πρώτη φορά τα αρχεία ZIP που δεν πρόσθεταν σωστά ετικέτες MotW.
Αν και η Microsoft έλαβε την αναφορά πριν από περισσότερους από δύο μήνες, η εταιρεία δεν έχει ακόμη κυκλοφορήσει μια ενημέρωση ασφαλείας για να διορθώσει το ελάττωμα.
Όπως εξηγεί ο Διευθύνων Σύμβουλος της ACROS Security και συνιδρυτής της υπηρεσίας micropatching 0patch, Mitja Kolsek, το MotW είναι ένας βασικός μηχανισμός ασφαλείας των Windows, καθώς το Smart App Control λειτουργεί μόνο σε αρχεία με ετικέτες MotW.
Δείτε ακόμα: Microsoft Exchange: Ο μετριασμός zero-day μπορεί να παρακαμφθεί
“Επομένως, οι εισβολείς προτιμούν εύλογα τα κακόβουλα αρχεία τους να μην επισημαίνονται με MOTW. Αυτή η ευπάθεια τους επιτρέπει να δημιουργήσουν ένα αρχείο ZIP έτσι ώστε τα εξαγόμενα κακόβουλα αρχεία να μην επισημαίνονται“, είπε ο Kolsek.
Το zero-day που αναφέρθηκε στη Microsoft τον Ιούλιο, έχει εντοπιστεί σε επιθέσεις που παραδίδουν κακόβουλα αρχεία στα συστήματα των θυμάτων.
Μέχρι να κυκλοφορήσει η Microsoft επίσημες ενημερώσεις για την αντιμετώπιση του ελαττώματος, η 0patch έχει αναπτύξει δωρεάν ενημερώσεις κώδικα για τις ακόλουθες εκδόσεις των Windows που επηρεάζονται:
Windows 10 v1803 και νεότερη έκδοση
Windows 7 με ή χωρίς ESU
Windows Server 2022
Windows Server 2019
Windows Server 2016
Windows Server 2012
Windows Server 2012 R2
Windows Server 2008 R2 με ή χωρίς ESU
Δείτε επίσης: Microsoft Exchange zero-day χρησιμοποιείται ενεργά σε επιθέσεις
Για να εγκαταστήσετε τα micropatches στη Windows συσκευή σας, καταχωρήστε έναν λογαριασμό 0patch και εγκαταστήστε τον agent του. Θα εφαρμοστούν αυτόματα μετά την εκκίνηση χωρίς να απαιτείται επανεκκίνηση του συστήματος, εάν δεν υπάρχουν προσαρμοσμένες πολιτικές ενημέρωσης κώδικα για τον αποκλεισμό του.
.){kind=link}