0-day w Windowsach

Jak podają eksperci z zakresu cyberbezpieczeństwa Sekurak – nowe ataki phishingowe używają podatności typu 0-day w systemie Windows do umieszczenia malware Qbot bez pojawienia się ostrzeżenia o tym, że plik pochodzi z Internetu (“Mark of the Web”). 

Gdy pliki zostają ściągnięte z niezaufanej lokalizacji zdalnej, takiej jak Internet lub załącznik e-mail, system Windows dodaje specjalny atrybut do pliku zwany “Mark of the Web” (MotW). Gdy użytkownik próbuje otworzyć taki plik, system wyświetli ostrzeżenie o tym, czy użytkownik jest pewny uruchomienia tego pliku, bo jego źródło nie jest weryfikowalne.

W ostatnim miesiącu grupa badaczy z HP Threat Intelligence odnalazła atak phishingowy, który dystrybuował ransomware Magniber za pomocą plików JavaScript. Jednak te pliki nie są tymi samymi, jakich używa się na stronach internetowych w formie skryptów. Są to samodzielne pliki z rozszerzeniem *.js, które są uruchamiane za pomocą środowiska wscript.exe (Windows Scripting Host). Jak możemy przeczytać w analizie Willa Dormanna na Twitterze, zagrożenie zostało sklasyfikowane jako nowa podatność 0-day, która nie wyświetla ostrzeżenia o otwarciu MotW. 

W ramach programu Patch Tuesday, Microsoft w listopadzie wypuścił aktualizację bezpieczeństwa eliminującą lukę opisaną jako CVE-2022-41091.

Źródło:

1. sekurak.pl/0-day-windowsach-omijajacy-ostrzezenie-o-uruchomieniu-pliku-pochodzacego-z-internetu-podatnosc-byla-wykorzystana-w-realnych-atakach/
2. bleepingcomputer.com/news/security/new-attacks-use-windows-security-bypass-zero-day-to-drop-malware/ 
3. bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-zero-day-bug-exploited-to-push-malware/
4. twitter.com/wdormann/status/1582466468968792064
5. virustotal.com/gui/file/8ca16991684f7384c12b6622b8d1bcd23bc27f186f499c2059770dd