ویندوز باگی را برطرف کرده است که از انتشار پرچمهای Mark of the Web به فایلهای درون فایلهای ISO دانلود شده جلوگیری میکند.
ویژگی Mark of the Web (MoTW)، یک ویژگی امنیتی ویندوز است که فایل های با منبع اینترنت را پرچم گذاری می کند، بنابراین این فایلها تحت عنوان مشکوک توسط سیستم عامل و برنامه های نصب شده شناسایی می شود.
فلگ MoTW به فایلها تحت یک استریم داده متناوب با عنوان Zone.Identifier اضافه می شود که شامل آدرس URL security zone جایی که فایل از آن دریافت شده، ارجاع دهنده و آدرس URL فایل می باشد.
استریم داده متناوب، یک فایل NTFS است که می تواند با ابزارهای خاص یا دستور dir/R دیده شده و در نوت پد مثل تصویر زیر باز شود.
وقتی که برای باز کردن فایلی با Mark of the Web تلاش شود، ویندوز هشدار امنیتی ای را که فایل باید با احتیاط استفاده شود را نمایش داده می دهد.
این هشدار در تصویر زیر مشخص است :
مایکروسافت آفیس همچنین از فلگ MoTW برای تشخیص اینکه فایل باید در حالت حفاظت شده باز شود، استفاده می کند.
رفع Mark of the Web در ISO ها توسط مایکروسافت
به عنوان بخشی از آپدیت های امنیتی نوامبر مایکروسافت، این شرکت تعدادی از آسیب پذیری هایی که به مهاجمین اجازه دور زدن ویژگی امنیتی Mark of the Web را می داد، رفع نموده است.
این به روز رسانی های شامل یک رفع باگ غیرمنتظره هم بوده است که مهاجمین از باگ مذکور جهت حملات فیشنگ سوءاستفاده می کردند.
براساس گفته ی یکی از مهندسین تیم آسیب پذیری و رفع آنها در مایکروسافت، باگی رفع شد که از انتشار پرچم MoTW به فایلهای داخل image Disk ISO جلوگیری میکرد.
در برخی مواقع، مهاجمین image Disk ISO را به عنوان ضمیمه در حملات فیشینگ برای آلودگی هدف با بدافزار، توزیع کرده اند.
در ویندوز 8 ممکن است فایل ISO با دوبار کلیک کردن، باز شود و باعث می شود ویندوز آن را به عنوان یک درایو DVD تحت یک درایو جدید بشناسد.
وقتیکه فایل ISO دانلود یا ضمیمه شده شامل Mark of the Web باشد، موقع باز شدن فایل پیغام هشداری خواهد داد اما باگ مذکور باعث می شود که فلگ MoTW روی فایل های غیر مایکروسافت مثل میانبرهای ویندوز (فایل های LNK) منتشر نشود.
بنابراین اگر کاربر یک فایل ضمیمه ISO را باز کند و روی فایل LNK دوبار کلیک کند، به صورت اتوماتیک و بدون نمایش پیغام هشدار ویندوز مانند تصویر زیر، اجرا خواهد شد.
بعد از نصب وصله های امنیتی نوامبر مایکروسافت، برای آسیب پذیری با شماره CVE-2022-41091، ویندوز فلگ Mark of the Web را برای فایل ISO در تمامی محتوای آن منتشر می کند و هنگام راه اندازی فایل LNK یک هشدار امنیتی را به درستی نمایش می دهد.
دو باگ MoTW دیگر نیز رفع شده است.
علاوه بر رفع مشکل توزیع MoTW فایل های ISO در به روز رسانی نوامبر دو باگ دیگر در این خصوص رفع شده است که یکبار به صورت فعال توسط مهاجمین سایبری مورد بهره برداری قرار گرفته اند.
اولین باگ، باعث می شود که هنگام باز کردن فایل هایی مستقیما ار آرشیو ZIP شده، ویندوز SmartScreen در ویندوز 11 22H2 ناموفق باشد و هشدار Mark of the Web را دور بزند.
باگ دوم با عنوان ZippyReads می تواند به سادگی با ایجاد یک فایل زیپ شامل یک فایل فقط خواندنی مورد بهره برداری قرار گیرد. وقتی که این فایل زیب در ویندوز اکسپلورر باز می شود فلک MoTW روی فایل فقط خواندی منتشر نشده و هشدارهای امنیتی را دور میزند.
هر دوی این باگها، با شماره شناسایی CVE-2022-41049 در آپدیت امنیتی این ماه مایکروسافت رفع شده اند.
باگ دیگری که توسط Will Dormann کشف شده است هنوز رفع نشده و امکان دور زدن هشدارهای MoTW را به به فایلهای JavaScript داده و اتوماتیک نیز اجرا می شود.
در حال حاضر مهاجمین سایبری از این باگ برای توزیع باج افزار Magniber استفاده می کنند که امیدواریم به زودی این آسیب پذیری نیز رفع شود.