0patch发布Windows MotW缺陷修复补丁
更新时间:2022-10-19 10:33:55 浏览次数:849+次Windows网络标记(MotW)标签中的一个0day缺陷正被攻击者积极利用。众所周知,MotW被应用于提取的ZIP档案文件、可执行文件和来自网络上不信任的地方的文件。(Via Bleeping Computer)
https://twitter.com/wdormann/status/1544416883419619333?ref_src=twsrc%5Etfw
这些标签作为一层保护和安全机制,警告你的系统,包括其他程序和应用程序,如果安装了一个特定的文件,可能存在威胁和恶意软件。因此,随着攻击者阻止MotW标签的应用,警告信号将不会被执行,使用户对文件可能存在的威胁一无所知。值得庆幸的是,尽管微软对这个问题仍然没有正式的修复,但0patch提供了一个你现在就可以获得的修复。
“0patch联合创始人兼ACROS安全公司首席执行官Mitja Kolsek在一篇解释MotW作为Windows重要安全机制的文章中写道:”因此,可以理解的是,攻击者更希望他们的恶意文件不被标记为MOTW;这个漏洞允许他们创建一个ZIP档案,这样提取的恶意文件就不会被标记。”攻击者可以在下载的ZIP文件中提供Word或Excel文件,由于没有MOTW(取决于Office宏安全设置),这些文件的宏不会被阻止,或者会逃避智能应用控制的检查。”
https://blog.0patch.com/2022/10/free-micropatches-for-bypassing-mark-of.html
这个问题是由IT解决方案公司Analygence的高级漏洞分析师Will Dormann首次报告的。有趣的是,Dormann在7月首次向微软介绍了这个问题,但尽管在8月前已经阅读了报告,但对于每个受影响的Windows用户来说,仍然无法得到修复。
多曼在9月份发现的早期问题几乎也遇到了同样的反应,他发现微软过时的脆弱驱动程序阻止列表,导致用户自2019年以来暴露在恶意驱动程序中。微软没有正式评论这个问题,但项目经理Jeffery Sutherland在今年10月参与了Dormann的一系列推文,表示已经有解决方案来解决这个问题。
截至目前,有报道称MotW缺陷仍在野外被利用,而微软仍对如何解决该问题的计划保持缄默。尽管如此,0patch正在提供免费的补丁,可以作为受影响的不同Windows系统的临时替代品,直到微软的解决方案到来。Kolsek在帖子中说,该补丁涵盖了Windows 11 v21H2、Windows 10 v21H2、Windows 10 v21H1、Windows 10 v20H2、Windows 10 v2004、Windows 10 v1909、Windows 10 v1903、Windows 10 v1809、Windows 10 v1803、带或不带ESU的Windows 7、Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012、Windows Server 2012 R2、带或不带ESU的Windows Server 2008 R2等系统。
对于当前的0patch用户,该补丁已经在所有在线0patch代理上可用。同时,新用户可以创建一个免费的0patch账户来注册0patch Agent。据说补丁应用程序是自动的,不需要重新启动。