微软修复了用于通过 ISO 文件释放恶意软件的 MoTW 零日漏洞
对于那些不熟悉 Web 标记 (MoTW) 的人来说,它是一种 Windows 安全功能,可以标记来自 Internet 的文件,以便它们被操作系统和已安装的应用程序标记为可疑。
MoTW 标志作为称为“Zone.Identifier”的备用数据流添加到文件中,其中包括文件来自哪个 URL 安全区域 、引用者和文件的 URL。
Alternate Data Streams 是一个 NTFS 文件属性,可以使用专用工具或命令提示符中的“dir /R”命令查看并直接在记事本中打开,如下所示。
一个 Mark-of-the-Web 备用数据流,来源:BleepingComputer
当尝试打开带有 Web 标记的文件时,Windows 将显示一个安全警告,提示应谨慎处理该文件。Windows的警告窗口提示:“该文件来自 Internet,可能会损害您的计算机。如果您不信任来源,请不要打开此软件。”
打开带有 MoTW 标志的文件时的 Windows 安全警告,来源:BleepingComputer
同样的安全措施,在Microsoft Office中较为多见。使用 MoTW 标志来确定是否应在受保护的视图中打开文件,从而导致显示警告并禁用宏。
作为 11 月补丁日,Microsoft 修复了许多漏洞,这些漏洞允许攻击者制作可以绕过 Web 安全功能标记的文件。更新修复了一个错误,该错误阻止了 MoTW 标志传递到 ISO 磁盘映像中的文件。
一段时间以来,攻击者一直在分发 ISO 磁盘映像文件作为网络钓鱼活动的附件,以用恶意软件感染目标。
从 Windows 8 开始,Windows支持直接双击加载ISO文件为虚拟光驱。下载或附加的 ISO 文件将包含 Web 标记并在打开时发出警告,但该错误导致 MoTW 标志不会传递到非 Microsoft Office 文件类型,例如 Windows 快捷方式(LNK 文件)。
如果用户打开 ISO 附件并双击随附的 LNK 文件,它将自动运行,而不显示安全警告。本周更新后,Windows 现在会将 Web 标记从 ISO 文件传递到其所有内容,并在启动 LNK 文件时正确显示安全警告。
传递到 ISO 文件中的 Web 标记(来源:BleepingComputer)
