Windows Mark of the Web (MotW) セキュリティ メカニズムで活発に悪用されているゼロデイ脆弱性に対処するために、無料の非公式パッチが 0patch プラットフォームを通じてリリースされました。
この欠陥により、攻撃者は、Windows がインターネットからダウンロードした ZIP アーカイブから抽出されたファイルに (MotW) ラベルを適用するのを防ぐことができます。
Windows は、特別な「Zone.Id」代替データ ストリームを使用して、ダウンロードした ZIP アーカイブから抽出したファイルを含む、信頼できないソースからダウンロードしたすべてのドキュメントと実行可能ファイルに MotW フラグを自動的に追加します。
これらの MotW ラベルは、Windows、Microsoft Office、Web ブラウザー、およびその他のアプリに、ファイルを疑って扱う必要があることを伝え、ファイルを開くとマルウェアがインストールされるなどの危険な動作につながる可能性があるという警告がユーザーに表示されます。デバイス。
ANALYGENCE の上級脆弱性アナリストである Will Dormann は、MoTW フラグが適切に追加されていない ZIP アーカイブを最初に発見し、7 月に Microsoft にこの問題を報告しました。
Microsoft は 2 か月以上前にレポートを開いて読んでいましたが、8 月の時点で、同社はこの欠陥を修正するためのセキュリティ更新プログラムをまだリリースしていません。
ISOではなくZIPだったらMotWでいいの?
あまり。 Windows は解凍された ZIP コンテンツに MotW を適用しようとしますが、実際にはかなりうまくいきません。
頑張りすぎずに、内容が Mark of the Web から保護されていない ZIP ファイルを取得しました。 pic.twitter.com/1SOuzfca5q— ウィル・ドーマン (@wdormann) 2022 年 7 月 5 日
ACROS Security の CEO であり、 0patch マイクロパッチ サービスの共同創設者である Mitja Kolsek 氏は、MotW は重要な Windows セキュリティ メカニズムであると説明しています。これは、 Smart App Controlが MotW フラグ付きのファイルでのみ機能し、Microsoft Office が MotW ラベルでタグ付けされたドキュメントのマクロのみをブロックするためです。
「したがって、攻撃者は悪意のあるファイルが MOTW でマークされていないことを好むのは理解できます。この脆弱性により、抽出された悪意のあるファイルがマークされないように ZIP アーカイブを作成できます」と Kolsek 氏は述べています。
「攻撃者は、(Office マクロのセキュリティ設定によっては) MOTW が存在しないためにマクロがブロックされない、または Smart App Control による検査を逃れる、ダウンロードされた ZIP で Word または Excel ファイルを配信する可能性があります。」
Microsoft が修正をリリースするまで無料のマイクロパッチ
7 月にゼロデイが Microsoft に報告されて以来、被害者のシステムに悪意のあるファイルを配信する攻撃に悪用されていることが検出されています。
Microsoft がこの脆弱性に対処する公式の更新プログラムをリリースするまで、0patch は以下の影響を受ける Windows バージョン用の無料パッチを開発しました。
- Windows 10 v1803 以降
- ESU の有無にかかわらず Windows 7
- Windows Server 2022
- Windows サーバー 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- ESU の有無にかかわらず Windows Server 2008 R2
Windows デバイスにマイクロパッチをインストールするには、0patch アカウントを登録し、エージェントをインストールします。
エージェントをブロックするカスタム パッチ ポリシーがない場合は、システムの再起動を必要とせずに、エージェントの起動後に自動的に適用されます。
以下のビデオで、0patch の Windows マイクロパッチの動作を確認できます。
Comments