Windows: 0Patch Micropatch für MotW-Bypassing 0-day (kein CVE)

Sicherheit (Pexels, allgemeine Nutzung)[English]Seit wenigen Tagen ist ein neuer Bug in Windows bekannt, der verhindert, dass das „Mark of the Web“-Flag bei kaputten Signaturen ausgewertet wird. Microsoft selbst hat bisher keinen Patch für diese 0-day Schwachstelle freigegeben. Die Schwachstelle wird bereits ausgenutzt. Daher hat sich ACROS Security dem Problem gewidmet und einen 0Patch Micropatch zum Schließen entwickelt. Der Patch ist frei verfügbar, benötigt wird lediglich der 0patch-Agent.

Ich habe vor 2 Tagen im Blog-Beitrag Windows (Mark of the Web) 0-day per JavaScript für Ransomware-Angriffe genutzt über den Sachverhalt berichtet. Von Microsoft gibt es bisher keinen Patch für diese Schwachstelle. Mitja Kolsek, der Gründer von ACROS Security hat mich vor einigen Stunden in einer persönlichen Mitteilung über diesen Micropatch informiert, das Ganze aber auch in nachfolgendem Tweet sowie die Details in diesem Blog-Beitrag öffentlich gemacht.

Windows MotW bypassing 0patch micropatch

Worum geht es bei MOTW?

Windows kann eine eine Sicherheitswarnung anzeigen, bevor eine ausführbare Datei, die aus dem Internet heruntergeladen wurde, geöffnet und gestartet wird. Diese Warnung, z.B. durch „Smart App Control“ funktioniert nur bei Dateien, bei denen das Mark of the Web (MOTW) Flag gesetzt ist. Smart App Control soll einen besseren Schutz vor neuen und aufkommenden Bedrohungen in Windows 11 bieten, indem es bösartige oder nicht vertrauenswürdige Apps blockiert. Smart App Control hilft auch dabei, potenziell unerwünschte Apps zu blockieren. Auch Microsoft Office blockiert Makros in Dokumenten mit MOTW (Quelle).

Allerdings gibt es einen Bug in Windows, der verhindert, dass dieses MotW-Flag überhaupt ausgewertet wird. Getriggert wird dies durch eine kaputte digitale Signatur in der zu prüfenden Datei. Ich hatte im Blog-Beitrag Windows (Mark of the Web) 0-day per JavaScript für Ransomware-Angriffe genutzt darauf hingewiesen. Microsoft selbst hat bisher keinen Patch für diese 0-day Schwachstelle freigegeben. Die Schwachstelle wird bereits ausgenutzt. Das ist jetzt die zweite ungepatchte Schwachstelle in diesem Bereich (siehe Windows: 0Patch Micropatch für MOTOW-ZIP-File-Bug (0-day, kein CVE)).

Die 0Patch-Lösung

ACROS Security hat die Schwachstelle analysiert und Micropatches für diese Schwachstelle veröffentlicht. Diese stehen kostenlos über den 0patch-Agenten zur Verfügung, bis  Microsoft den offiziellen Fix veröffentlicht hat. Details zur Wirkungsweise lassen sich in diesem Blog-Post nachlesen. Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (wie z.B. hier).

Ähnliche Artikel:
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1013 in Windows 7/Server 2008 R2
0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec
0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle
0patch fixt 0-day im Internet Explorer
0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2
0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)
0Patch bietet Support für Windows 10 Version 1809 nach EOL
Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)
2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)
Windows 10: 0patch-Fix für MSHTML-Schwachstelle (CVE-2021-40444)
0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service
0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service
0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows
0patch fixt ms-officecmd RCE-Schwachstelle in Windows
0patch fixt RemotePotato0-Schwachstelle in Windows
0patch fixt erneut Schwachstelle CVE-2021-34484 in Windows 10/Server 2019
0Patch fixt Schwachstellen (CVE-2022-26809 und CVE-2022-22019) in Windows
Windows MSDT 0-day-Schwachstelle „DogWalk“ erhält 0patch-Fix
0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows
0patch fixt Memory Corruption-Schwachstelle (CVE-2022-35742) in Microsoft Outlook 2010
Windows 7/Server 2008 R2: Erhalten auch 2023 und 2024 0patch Micropatches
Windows: 0Patch Micropatch für MOTOW-ZIP-File-Bug (0-day, kein CVE)

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert