0patch ha rilasciato un fix non ufficiale gratuito per correggere una vulnerabilità zero day ampiamente sfruttata nel meccanismo di sicurezza di Windows Mark of the Web (MotW).
Il bug consente agli aggressori di impedire l’applicazione dei controlli di Windows (MotW) ai file estratti da archivi ZIP scaricati da Internet.
Windows aggiunge automaticamente MotW a tutti i documenti e gli eseguibili scaricati da fonti non attendibili, inclusi i file estratti da archivi ZIP scaricati, utilizzando il flusso di dati alternativo Zone.Id, che fa sì che venga visualizzato un avviso all’apertura.
Il problema è stato segnalato a Microsoft a luglio da Will Dormann di ANALYGENCE, che per primo ha scoperto che gli archivi ZIP non aggiungevano correttamente i flag MoTW.
Microsoft ha esaminato il rapporto più di due mesi fa, ma non ha ancora rilasciato un aggiornamento per la sicurezza.
Secondo Micropatching Service 0patch, MotW è un importante meccanismo di sicurezza di Windows perché Smart App Control funzionerà solo su file con flag MotW e Microsoft Office bloccherà solo le macro per i documenti contrassegnati con etichette MotW.
Pertanto, gli aggressori, per ovvi motivi, preferiscono bypassare tali contrassegni per il loro archivio ZIP, di modo che tutti i file Word o Excel dannosi estratti non verranno contrassegnati correttamente e le macro non verranno quindi bloccate.
Pertanto, senza attendere Microsoft, gli analisti di 0patch hanno sviluppato correzioni per tutte le versioni vulnerabili: Windows 10 v1803 e successive, Windows 7, Windows Server 2008 R2, 2012, 2012 R2, 2016, 2019, 2022.
Si consiglia vivamente ai clienti Microsoft pertanto di sfruttare questa patch direttamente direttamente del fornitore, poiché da quando è stato scoperto lo 0-day a luglio, sembra una vulnerabilità già sfruttata in attacchi concreti per fornire file dannosi alle vittime.