当前位置: windows系统之家 >  微软资讯 >  微软修复了用于通过 ISO 文件释放恶意软件的 MoTW 零日漏洞

微软修复了用于通过 ISO 文件释放恶意软件的 MoTW 零日漏洞

更新时间:2022-11-11 11:20:39作者:bjjmlv
Windows 修复了一个错误,该错误阻止 Web 标记传递到下载的ISO文件中的风险文件,对恶意软件分发者和开发人员造成巨大打击。

对于那些不熟悉 Web 标记 (MoTW) 的人来说,它是一种 Windows 安全功能,可以标记来自 Internet 的文件,以便它们被操作系统和已安装的应用程序标记为可疑。

MoTW 标志作为称为“Zone.Identifier”的备用数据流添加到文件中,其中包括文件来自哪个 URL 安全区域 、引用者和文件的 URL。

Alternate Data Streams 是一个 NTFS 文件属性,可以使用专用工具或命令提示符中的“dir /R”命令查看并直接在记事本中打开,如下所示。

微软修复了用于通过 ISO 文件释放恶意软件的 MoTW 零日漏洞

一个 Mark-of-the-Web 备用数据流,来源:BleepingComputer

当尝试打开带有 Web 标记的文件时,Windows 将显示一个安全警告,提示应谨慎处理该文件。Windows的警告窗口提示:“该文件来自 Internet,可能会损害您的计算机。如果您不信任来源,请不要打开此软件。”

微软修复了用于通过 ISO 文件释放恶意软件的 MoTW 零日漏洞

打开带有 MoTW 标志的文件时的 Windows 安全警告,来源:BleepingComputer

同样的安全措施,在Microsoft Office中较为多见。使用 MoTW 标志来确定是否应在受保护的视图中打开文件,从而导致显示警告并禁用宏。

微软修复了用于通过 ISO 文件释放恶意软件的 MoTW 零日漏洞

作为 11 月补丁日,Microsoft 修复了许多漏洞,这些漏洞允许攻击者制作可以绕过 Web 安全功能标记的文件。更新修复了一个错误,该错误阻止了 MoTW 标志传递到 ISO 磁盘映像中的文件。

一段时间以来,攻击者一直在分发 ISO 磁盘映像文件作为网络钓鱼活动的附件,以用恶意软件感染目标。

从 Windows 8 开始,Windows支持直接双击加载ISO文件为虚拟光驱。下载或附加的 ISO 文件将包含 Web 标记并在打开时发出警告,但该错误导致 MoTW 标志不会传递到非 Microsoft Office 文件类型,例如 Windows 快捷方式(LNK 文件)。

如果用户打开 ISO 附件并双击随附的 LNK 文件,它将自动运行,而不显示安全警告。本周更新后,Windows 现在会将 Web 标记从 ISO 文件传递到其所有内容,并在启动 LNK 文件时正确显示安全警告。

微软修复了用于通过 ISO 文件释放恶意软件的 MoTW 零日漏洞

传递到 ISO 文件中的 Web 标记(来源:BleepingComputer)

相关教程