Microsoft vá lỗ hổng MoTW bị lạm dụng để phát tán mã độc

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Microsoft vá lỗ hổng MoTW bị lạm dụng để phát tán mã độc
Windows đã vá lỗ hổng CVE-2022-41049 (CVSS 5,4) chặn cờ Mark of the Web (MoTW), sau đó bị lạm dụng để nhúng phần mềm độc hại qua tệp ISO. Đây là tính năng bảo mật của Windows sẽ gắn cờ nghi ngờ đối với các file tải về từ Internet.
w1.png

Cờ MoTW được thêm vào 1 file Zone.Identifie dạng Alternate Data Streams, nó bao gồm các thông tin đường dẫn file, URL tải file. Alternate Data Streams là một thuộc tính của file NTFS có thể xem bằng các lệnh dir /r.​

w2.png

Khi mở một file được gắn cờ MoTW Windows sẽ hiện cảnh báo người dùng "Mặc dù các tệp từ Internet có thể hữu ích, nhưng loại tệp này có thể gây hại cho máy tính của bạn. Nếu bạn không tin tưởng nguồn, đừng mở phần mềm này".​

w3.png

Microsoft Office cũng sử dụng MoTW để xác định xem file có nên mở ở chế độ Protected View và hiển thị khuyến cáo cho người dùng.

1668142913121.png


Microsoft vá lỗi Mark of the Web trong file ISO

Trong Patch Tuesday tháng 11, Microsoft đã vá lỗ hổng cho phép tạo ra các file ISO vượt qua được tính năng MoTW.​
1668143275431.png
Hacker đã và đang sử dụng các file ISO dạng đính kèm trong các chiến dịch lừa đảo để phát tán mã độc. Từ Windows 8 trở đi, các file ISO có thể được mở bằng các click trực tiếp, Windows sẽ tạo ra 1 dạng DVD và gắn vào file ISO đó.

Một file ISO tải xuống từ Internet có cờ MoTW, Windows Secutiry sẽ cảnh báo khi mở. Tuy nhiên, đối với các file bên trong thì khi mở cờ MoTW không được gán, dẫn đến Windows Security không cảnh báo.
1668145648318.gif


Hai lỗi MoTW khác cũng được giải quyết

Ngoài việc không gán được cờ MoTW trong file ISO, bản cập nhật tháng 11 cũng vá 2 lỗi, trong đó một lỗi đã bị khai thác trong thực tế.

Lỗi đầu tiên khiến Windows SmartScreen không thành công trên Windows 11 22H2 và bỏ qua cảnh báo Mark of the Web khi mở trực tiếp từ file Zip.​

1668144172120.png

Lỗi thứ hai có tên là 'ZippyReads', được khai thác rất đơn giản bằng cách tạo file Zip chứa file có quyền chỉ đọc. Khi file Zip được mở trong Windows Explorer, cờ MoTW sẽ không gán vào file chỉ đọc bên trong và bỏ qua các cảnh báo an ninh.

Cả hai lỗ hổng này đã được khắc phục trong Patch Tuesday tháng 11.​

 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2022-41091 mark of the web microsoft motw
Bên trên