Microsoft vá lỗ hổng MoTW bị lạm dụng để phát tán mã độc
Windows đã vá lỗ hổng CVE-2022-41049 (CVSS 5,4) chặn cờ Mark of the Web (MoTW), sau đó bị lạm dụng để nhúng phần mềm độc hại qua tệp ISO. Đây là tính năng bảo mật của Windows sẽ gắn cờ nghi ngờ đối với các file tải về từ Internet.
Cờ MoTW được thêm vào 1 file Zone.Identifie dạng Alternate Data Streams, nó bao gồm các thông tin đường dẫn file, URL tải file. Alternate Data Streams là một thuộc tính của file NTFS có thể xem bằng các lệnh dir /r.
Khi mở một file được gắn cờ MoTW Windows sẽ hiện cảnh báo người dùng "Mặc dù các tệp từ Internet có thể hữu ích, nhưng loại tệp này có thể gây hại cho máy tính của bạn. Nếu bạn không tin tưởng nguồn, đừng mở phần mềm này".
Microsoft Office cũng sử dụng MoTW để xác định xem file có nên mở ở chế độ Protected View và hiển thị khuyến cáo cho người dùng.
Microsoft vá lỗi Mark of the Web trong file ISO
Trong Patch Tuesday tháng 11, Microsoft đã vá lỗ hổng cho phép tạo ra các file ISO vượt qua được tính năng MoTW.
Hacker đã và đang sử dụng các file ISO dạng đính kèm trong các chiến dịch lừa đảo để phát tán mã độc. Từ Windows 8 trở đi, các file ISO có thể được mở bằng các click trực tiếp, Windows sẽ tạo ra 1 dạng DVD và gắn vào file ISO đó.
Một file ISO tải xuống từ Internet có cờ MoTW, Windows Secutiry sẽ cảnh báo khi mở. Tuy nhiên, đối với các file bên trong thì khi mở cờ MoTW không được gán, dẫn đến Windows Security không cảnh báo.
Một file ISO tải xuống từ Internet có cờ MoTW, Windows Secutiry sẽ cảnh báo khi mở. Tuy nhiên, đối với các file bên trong thì khi mở cờ MoTW không được gán, dẫn đến Windows Security không cảnh báo.
Hai lỗi MoTW khác cũng được giải quyết
Ngoài việc không gán được cờ MoTW trong file ISO, bản cập nhật tháng 11 cũng vá 2 lỗi, trong đó một lỗi đã bị khai thác trong thực tế.
Lỗi đầu tiên khiến Windows SmartScreen không thành công trên Windows 11 22H2 và bỏ qua cảnh báo Mark of the Web khi mở trực tiếp từ file Zip.
Lỗi đầu tiên khiến Windows SmartScreen không thành công trên Windows 11 22H2 và bỏ qua cảnh báo Mark of the Web khi mở trực tiếp từ file Zip.
Lỗi thứ hai có tên là 'ZippyReads', được khai thác rất đơn giản bằng cách tạo file Zip chứa file có quyền chỉ đọc. Khi file Zip được mở trong Windows Explorer, cờ MoTW sẽ không gán vào file chỉ đọc bên trong và bỏ qua các cảnh báo an ninh.
Cả hai lỗ hổng này đã được khắc phục trong Patch Tuesday tháng 11.
Cả hai lỗ hổng này đã được khắc phục trong Patch Tuesday tháng 11.
Theo: bleepingcomputer.com
Chỉnh sửa lần cuối bởi người điều hành: