微软 Windows 被爆零日漏洞,恶意软件可不显示“网络标记”下
IT之家11月22日消息 , 当你从不受信任的远程位置(如某个网站或者电子邮件附件)下载文件之后 , Windows系统会给文件添加一个特殊属性 , 称为“网络标记”(MarkoftheWeb , 简称MoTW) 。 而近日Windows系统中曝光了一个零日漏洞 , 可以在不显示“网络标记”的情况下投放Qbot恶意软件 。
文章图片
IT之家了解到 , MoTW是一个补充数据流 , 包含诸如URL安全区、推荐者、下载URL等文件信息 。 当用户试图打开一个带有MoTW属性的文件时 , Windows将显示一个安全警告 , 询问他们是否确定要打开该文件 。
文章图片
该警告会显示:“虽然来自互联网的文件可能是有用的 , 但这种文件类型有可能损害你的计算机 。 如果你不相信来源 , 请不要打开这个软件” 。
惠普威胁情报团队(HPThreatIntelligence)上月报告说 , 在发现的一次网络攻击钓鱼活动中发现黑客以JavaScript文件的形式分发Magniber勒索软件 。 这些JavaScript文件与网站上使用的不一样 , 而是带有“.JS”扩展名的独立文件 , 使用Windows脚本主机(wscript.exe)执行 。
文章图片
文章图片
文章图片
文章图片
在分析了这些文件后 , ANALYGENCE的高级漏洞分析师WillDormann发现 , 威胁者使用了一个新的Windows零日漏洞 , 该漏洞使网络安全警告中的标记无法显示 。
通过利用这个漏洞 , JS文件(或其它类型的文件)可以使用嵌入式base64编码的签名块进行签名 。 之后用户打开这些恶意软件 , 并没有被微软SmartScreen标记并显示MoTW安全警告 , 而是自动允许该程序运行 。
这种QBot恶意软件钓鱼活动分发了包含ISO镜像、密码保护的ZIP文件 。 这些ISO镜像包含一个Windows快捷方式和DLLs来安装恶意软件 。
【微软 Windows 被爆零日漏洞,恶意软件可不显示“网络标记”下】IT之家了解到 , 微软在2022年11月补丁星期二活动日发布的累积更新中 , 已经修复了这个漏洞 。
- 曾经辉煌的WindowsPhone很多人都以为|曾经辉煌的windowsphone,为什么最后却输给了安卓?
- 抖音|这瓜有点大,抖音顶流被打假人顶流打假
- 微软|新的3D打印材料:盐
- macos市场份额总是输给windows,原因有4点
- 亚马逊|亚马逊、Lazada卖家怎么防止半夜被跟卖?如何防御反击?
- 诈骗|女子遇诈骗反赚骗子1千多 认识炒股专家被坑惨:官方提醒不要想暴富
- 你也曾为“大牌平替”动心吗?当我们的生活水平日渐提高|被时间印证的戴森,拥有“平替”难以复制的灵魂
- |Windows为什么使用广播机制更新信息?
- 微软|36氪首发|「热醒Rexing」获数百万人民币天使轮融资,重新定义户外运动品牌
- 苹果官宣了iOS16的适配清单后|苹果官宣ios16适配清单,iphone6s正式被除名