Вышел неофициальный патч для активно эксплуатируемой уязвимости Windows MoTW

Выпущено неофициальное исправление для активно используемой уязвимости нулевого дня. Она позволяет файлам, подписанным искаженными подписями, обходить предупреждения безопасности Mark-of-the-Web в Windows 10 и Windows 11.

Вышел неофициальный патч для активно эксплуатируемой уязвимости Windows MoTW. Фото: Иван Анатольев

Ранее стало известно, что злоумышленники использовали автономные файлы ЯваСкрипт для установки программы-вымогателя Magniber на устройства жертв.

Когда пользователь загружает файл из Интернета, Microsoft добавляет к нему отметку Mark-of-the-Web, заставляя операционную систему отображать предупреждения системы безопасности при запуске файла.

Файлы Magniber снабжались маркером Mark-of-a-Web, но Windows не отображала никаких предупреждений безопасности при их запуске.

Специалисты, которые исследовали проблему, обнаружили, что файлы ЯваСкрипт были подписаны искажённой цифровой подписью.

Когда вредоносный файл с одной из этих искаженных сигнатур открывается, вместо того, чтобы быть помеченным Microsoft SmartScreen и отображать предупреждение системы безопасности, Windows автоматически разрешала запуск программы.

В Microsoft сообщили, что знают об этой проблеме и занимаются расследованием.

Поскольку эта уязвимость нулевого дня активно используется в атаках программ-вымогателей, служба микроисправлений 0patch решила выпустить неофициальное исправление, которое можно использовать до тех пор, пока Microsoft не подготовит официальное обновление безопасности.

Соучредитель 0patch Митя Колсек предупредил, что, хотя их патч исправляет большинство сценариев атак, но в некоторых ситуациях не работает.

Из сообщения Мити Колсека:

«Хотя наш патч исправляет самый очевидный недостаток, его полезность зависит от приложения, открывающего файл с помощью функции DoSafeOpenPromptForShellExe в shdocvw.dll, а не какого-либо другого механизма. Нам неизвестно о другом подобном механизме в Windows, но технически он может существовать».

Пока Microsoft не выпустит официальные обновления для устранения уязвимости, 0patch разработала бесплатные исправления для следующих уязвимых версий Windows:

Windows 11 v21H2.
Windows 10 v21H2.
Windows 10 v21H1.
Windows 10 v20H2.
Windows 10 v2004.
Windows 10 v1909.
Windows 10 v1903.
Windows 10 v1809.
Windows 10 v1803.
Windows Server 2022.
Windows Server 2019.

Чтобы установить микропатч на ваше устройство Windows, вам потребуется зарегистрировать бесплатную учетную запись 0patch и установить его агент .

После установки агента исправления будут применяться автоматически без необходимости перезагрузки системы, если нет настраиваемых политик исправления, блокирующих его.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме