11月22日消息|微软win10/win11被爆零日漏洞

11月22日消息 , 当你从不受信任的远程位置(如某个网站或者电子邮件附件)下载文件之后 , Windows系统会给文件添加一个特殊属性 , 称为“网络标记”(MarkoftheWeb , 简称MoTW) 。 而近日Windows系统中曝光了一个零日漏洞 , 可以在不显示“网络标记”的情况下投放Qbot恶意软件 。
11月22日消息|微软win10/win11被爆零日漏洞
文章图片
MoTW是一个补充数据流 , 包含诸如URL安全区、推荐者、下载URL等文件信息 。 当用户试图打开一个带有MoTW属性的文件时 , Windows将显示一个安全警告 , 询问他们是否确定要打开该文件 。
11月22日消息|微软win10/win11被爆零日漏洞
文章图片
11月22日消息|微软win10/win11被爆零日漏洞】该警告会显示:“虽然来自互联网的文件可能是有用的 , 但这种文件类型有可能损害你的计算机 。 如果你不相信来源 , 请不要打开这个软件” 。
惠普威胁情报团队(HPThreatIntelligence)上月报告说 , 在发现的一次网络攻击钓鱼活动中发现黑客以JavaScript文件的形式分发Magniber勒索软件 。 这些JavaScript文件与网站上使用的不一样 , 而是带有“.JS”扩展名的独立文件 , 使用Windows脚本主机(wscript.exe)执行 。
11月22日消息|微软win10/win11被爆零日漏洞
文章图片
11月22日消息|微软win10/win11被爆零日漏洞
文章图片
11月22日消息|微软win10/win11被爆零日漏洞
文章图片
11月22日消息|微软win10/win11被爆零日漏洞
文章图片
在分析了这些文件后 , ANALYGENCE的高级漏洞分析师WillDormann发现 , 威胁者使用了一个新的Windows零日漏洞 , 该漏洞使网络安全警告中的标记无法显示 。
通过利用这个漏洞 , JS文件(或其它类型的文件)可以使用嵌入式base64编码的签名块进行签名 。 之后用户打开这些恶意软件 , 并没有被微软SmartScreen标记并显示MoTW安全警告 , 而是自动允许该程序运行 。
这种QBot恶意软件钓鱼活动分发了包含ISO镜像、密码保护的ZIP文件 。 这些ISO镜像包含一个Windows快捷方式和DLLs来安装恶意软件 。
微软在2022年11月补丁星期二活动日发布的累积更新中 , 已经修复了这个漏洞 。