Une vulnérabilité qui permettait aux acteurs de la menace de contourner le mécanisme de sécurité Windows Mark of the Web (MotW) a un correctif non officiel grâce au service de micropatching 0patch (s’ouvre dans un nouvel onglet).
MoTW signale automatiquement tous les fichiers et exécutables qui ont été téléchargés à partir de sources non fiables via Internet, y compris les archives compressées.
Différentes versions du correctif sont désormais disponibles pour Windows 10 v1803 et versions ultérieures, Windows 7 avec ou sans mises à jour de sécurité étendues (ESU), Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 et Windows Serveur 2008 R2 avec ou sans ESU.
Mauvaise gestion des archives ZIP
MOTW, en signalant les fichiers et les archives provenant de sources non fiables, indique aux administrateurs système d’être extrêmement prudents, en affichant des messages les avertissant que l’exécution d’un fichier non fiable pourrait entraîner une compromission du système.
Cependant, selon BleepingComputer (s’ouvre dans un nouvel onglet)Will Dormann, analyste principal des vulnérabilités chez ANALYGENCE, a découvert l’été dernier que les archives .zip n’ajoutaient pas correctement les balises MoTW nécessaires, exposant de nombreux utilisateurs à des risques de logiciels malveillants, de ransomwares et d’une myriade d’autres problèmes.
Dans un fil Twitter récent (s’ouvre dans un nouvel onglet)Dormann prétend avoir signalé le problème à Microsoft en août 2022, un Il allègue également que la société a ouvert et lu le rapport, mais n’a pas encore corrigé (s’ouvre dans un nouvel onglet) ce.
En attendant, les utilisateurs peuvent se diriger vers 0patch, enregistrer un compte et installer l’agent eux-mêmes. Après cela, les correctifs seront appliqués automatiquement dès le démarrage de l’agent et ne nécessiteront pas de redémarrage du système.
Microsoft a négligé de corriger la vulnérabilité bien qu’elle soit devenue un exploit de bogue populaire pour les attaquants depuis la divulgation de Dormann l’été dernier.
Il n’est pas clair pour le moment si l’action de 0patch incitera Microsoft à agir officiellement pour protéger davantage de systèmes en appliquant un correctif officiel, bien que le rapport de bogue ignoré pendant plus de 90 jours ne soit pas de bon augure.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)