聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞可导致攻击者阻止 Windows 在从Internet 下载的ZIP文档中提取的文件上应用MotW 标签。Windows 将MotW标记自动添加到从不可信来源下载的所有文档和可执行文件中,包括通过特殊的 “Zone.Id” 替换数据流,从所下载ZIP文档中提取的文件等。
这些MotW 标签告知Windows、微软Office、网络浏览器和其它应用称,应当以怀疑的态度看待该文件,并将向用户显示警报称打开这些文件将导致危险行为如在设备上安装恶意软件。
ANALYGENCE 公司的资深漏洞分析师 Will Dormann 率先发现ZIP文档并未被正确地添加MoTW 标记,并在7月份将问题告知微软。尽管微软在两个多月前就打开并阅读了该报告,但到8月份,尚未发布安全更新。
ACROS 安全公司的首席执行官兼0patch的联合创始人 Mitja Kolsek 解释称,MotW 是一个重要的Windows安全机制,因为Smart App Control 将仅在具有MotW标记的文件上运作,微软Office 将仅拦截具有MotW标记标签的文档上的宏。
Kolsek 表示,“因此,攻击者可选择自己的恶意文件不被标记为MOTW;该漏洞可导致攻击者创建一个提取恶意文档但不会被标记的ZIP文档。攻击者可在所下载的且因缺少MOTW而使宏不会被拦截的ZIP中传播Word 或 Excel 文件,或者通过Smart App Control 逃逸检测。”
自从该0day 是在今年7月份报告给微软的,该漏洞已遭利用,在受害者系统上传播恶意文件。
在微软发布官方更新前,0patch已为如下受影响的Windows 版本开发了免费的补丁:
1、Windows 10 v1803及后续版本
2、Windows 7(具有或不具有ESU)
3、Windows Server 2022
4、Windows Server 2019
5、Windows Server 2016
6、Windows Server 2012
7、Windows Server 2012 R2
8、Windows Server 2008 R2(具有或不具有ESU)
https://www.bleepingcomputer.com/news/microsoft/windows-mark-of-the-web-bypass-zero-day-gets-unofficial-patch/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Windows Mark of the Web 绕过漏洞获得非官方补丁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论