HP威脅研究部門人員在9月間發現,勒索軟體Magniber開始利用7月公開的Windows MotW漏洞攻擊Windows 10用戶
文/林妍溱 | 2022-10-26發表
研究人員發現一項早先曝露的Windows漏洞,在微軟釋出修補程式之前,又讓惡意JavaScript檔繞過Windows用以防範網頁惡意檔案的MotW機制。
上個月HP威脅研究部門人員發現勒索軟體Magniber的攻擊行動。攻擊者以防毒或Windows更新誘騙用戶下載一個內含JavaScript檔的壓縮檔。在此之前Magniber都是以MSI和EXE檔掩飾,而這是它第一次使用JavaScript檔。
圖片來源/HP
至於從網站上下載的檔案何以能在Windows上執行,引發知名安全研究人員Will Dormann好奇,因為Windows MotW並未啟動。他在今年7月揭露Windows的MotW漏洞。MotW(Mark of the Web)是Windows的安全功能,會針對從網路上下載的檔案給予一個MoTW標籤,作為在NTFS檔案系統的ADS(Alternate Data Streams)檔。當開啟具有MoTW標籤的檔案,Windows就會顯示警告,要求使用者小心。
Dormann 7月發現到的漏洞讓駭客得以干擾Windows的MotW設定,使Windows解壓縮ZIP檔案時,就算某些檔案來自不可靠的來源也不會出現MotW及警示。微軟一直沒有修補,另一家安全廠商0Patch則於上周釋出非官方修補程式。
Magniber攻擊者散布的JavaScript檔有MotW,但Windows仍然沒有顯示警示。Dormann發現,攻擊者使用來簽發該JavaScript檔的簽章檔,是變造過的Authenticode簽章,則可以跳過Windows 10的Smart Screen或警示,不論JavaScript檔內容為何。
Dormann還說,這個技倆也能用在操弄.EXE檔,而讓惡意執行檔在Windows上執行。
研究人員相信,這個問題在修補完全的Windows 8.1並不會發生,因此可以推論,這個漏洞(或瑕疵)是從Windows 10才有的。
研究人員對Bleeping Computer表示,這問題是出在Windows 10的「應用程式和檔案檢查」功能SmartScreen。只要關閉這功能,就能讓Windows MotW功能發生作用,而發出安全警告。
用戶可以在「Windows安全性」>「應用程式&瀏覽器控制」>「信譽評等防護設定」下關閉該服務。