新的 Windows 零日漏洞允许威胁参与者使用恶意的独立 JavaScript 文件绕过 Web 标记安全警告。已经看到威胁参与者在勒索软件攻击中使用零日漏洞。Windows 包含一个称为 Web 标记 (MoTW) 的安全功能,该功能将文件标记为已从 Internet 下载,因此应谨慎处理,因为它可能是恶意的。MoTW 标志作为称为“Zone.Identifier”的特殊备用数据流添加到下载的文件或电子邮件附件中,可以使用“dir /R”命令查看并直接在记事本中打开,如下所示。Mark-of-the-Web 备用数据流这个“Zone.Identifier”备用数据流包括文件来自哪个 URL 安全区域 (三个等于 Internet)、引用者和文件的 URL。当用户尝试打开带有 Web 标记标志的文件时,Windows 将显示一条警告,指出应谨慎处理该文件。“虽然来自 Internet 的文件很有用,但这种文件类型可能会损害您的计算机。如果您不信任来源,请不要打开此软件,”来自 Windows 的警告中写道。打开带有 MoTW 标志的文件时的 Windows 安全警告 Microsoft Office 还利用 MoTW 标志来确定文件是否应在受保护的视图中打开,从而导致宏被禁用。
Windows 零日绕过安全警告的演示 使用这种技术,攻击者可以绕过打开下载的 JS 文件时显示的正常安全警告并自动执行脚本。能够在 Windows 10 中重现该错误。但是,对于 Windows 11,该错误只会在直接从存档运行 JS 文件时触发。Dormann 告诉我们,他认为这个漏洞是在 Windows 10 发布时首次引入的,因为完全修补的 Windows 8.1 设备会按预期显示 MoTW 安全警告。
Mark-of-the-Web 备用数据流
打开带有 MoTW 标志的文件时的 Windows 安全警告
用于安装 Magniber 勒索软件的 JavaScript 文件
恶意 JavaScript 文件中的格式错误的签名
评论