[English]Seit Mai 2022 ist ein Bug in Windows bekannt, der verhindert, dass das "Mark of the Web"-Flag bei aus ZIP-Archiven entpackten Dateien gesetzt wird. Microsoft selbst hat bisher keinen Patch für diese 0-day Schwachstelle freigegeben. Die Schwachstelle wird bereits ausgenutzt. Daher hat sich ACROS Security dem Problem gewidmet und einen 0Patch Micropatch zum Schließen entwickelt. Der Patch ist frei verfügbar, benötigt wird lediglich der 0patch-Agent.
Anzeige
Mitja Kolsek, der Gründer von ACROS Security hat mich vor einigen Stunden in einer persönlichen Mitteilung über diesen Micropatch informiert, das Ganze aber auch in nachfolgendem Tweet sowie die Details in diesem Blog-Beitrag öffentlich gemacht.
Worum geht es bei MOTW?
Windows kann eine eine Sicherheitswarnung anzeigen, bevor eine ausführbare Datei, die aus dem Internet heruntergeladen wurde, geöffnet und gestartet wird. Diese "Smart App Control" funktioniert nur bei Dateien, bei denen das Mark of the Web (MOTW) Flag gesetzt ist. Smart App Control soll einen besseren Schutz vor neuen und aufkommenden Bedrohungen in Windows 11 bieten, indem es bösartige oder nicht vertrauenswürdige Apps blockiert. Smart App Control hilft auch dabei, potenziell unerwünschte Apps zu blockieren. Hierbei handelt es sich um Apps, die dazu führen können, dass Ihr Gerät langsam läuft, unerwartete Werbung angezeigt wird, zusätzliche Software angeboten wird, die vom Nutzer nicht erwünscht ist. Auch Microsoft Office blockiert Makros in Dokumenten mit MOTW (Quelle).
Bug verhindert MOTW-Flag
Angreifer versuchen daher zu vermeiden, dass ihre bösartigen Dateien mit MOTW markiert werden. Ein Bug in Windows ermöglicht es Angreifern, ein ZIP-Archiv so zu erstellen, dass extrahierte bösartige Dateien nicht mit MOTW markiert werden. Der Sicherheitsforscher Will Dormann ist im Mai 2022 auf eine Schwachstelle in Windows gestoßen.
Diese Schwachstelle ermöglicht es einem Angreifer, Windows daran zu hindern, die Markierung "Mark of the Web" für Dateien zu setzen, die aus einem ZIP-Archiv extrahiert wurden. Das gilt selbst für den Fall, dass die ZIP-Archiv aus einer nicht vertrauenswürdigen Quelle wie dem Internet, einer E-Mail oder von einem USB-Stick stammt. Damit werden Microsofts schöne Sicherheitslösungen unwirksam.
Will hat Microsoft im Juli über dieses Problem informiert, aber eine offizielle Lösung wurde noch nicht bereitgestellt. In der Zwischenzeit wird die Sicherheitslücke offenbar in freier Wildbahn ausgenutzt. Bisher gibt es aber keinen Patch und nicht mal eine CVE-Kennung dafür.
Die 0Patch-Lösung
ACROS Security hat die Schwachstelle analysiert und Micropatches für diese Schwachstelle veröffentlicht. Diese stehen kostenlos über den 0patch-Agenten zur Verfügung, bis Microsoft den offiziellen Fix veröffentlicht hat. Details zur Wirkungsweise lassen sich in diesem Blog-Post und dem dort eingebundenen Video herausfinden.
Anzeige
Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (wie z.B. hier).
Ähnliche Artikel:
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1013 in Windows 7/Server 2008 R2
0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec
0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle
0patch fixt 0-day im Internet Explorer
0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2
0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)
0Patch bietet Support für Windows 10 Version 1809 nach EOL
Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)
2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)
Windows 10: 0patch-Fix für MSHTML-Schwachstelle (CVE-2021-40444)
0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service
0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service
0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows
0patch fixt ms-officecmd RCE-Schwachstelle in Windows
0patch fixt RemotePotato0-Schwachstelle in Windows
0patch fixt erneut Schwachstelle CVE-2021-34484 in Windows 10/Server 2019
0Patch fixt Schwachstellen (CVE-2022-26809 und CVE-2022-22019) in Windows
Windows MSDT 0-day-Schwachstelle "DogWalk" erhält 0patch-Fix
0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows
0patch fixt Memory Corruption-Schwachstelle (CVE-2022-35742) in Microsoft Outlook 2010
Windows 7/Server 2008 R2: Erhalten auch 2023 und 2024 0patch Micropatches
2015
Warum soll das ein Bug sein? Wenn ich eine ZIP-Datei herunterlade und auspacke, will ich nicht extra in die Eigenschaften der selbst manuell ausgepackten Dateien gehen und auf "Zulassen" klicken. Für Leute, die .ZIP mit anderen Zippern als dem Windows Explorer verknüpft haben, gilt ohnehin das gleiche. Somit verstehe ich hier wirklich das Problem nicht. Für mich ist es im Gegenteil ein gewünschtes Systemverhalten, dass nach Auspacken von Dateien diese nicht weiter als potentiell gefährlich angemeckert werden. Denn dann ist man schon sehr lange im manuellen Prozess, bei der der Nutzer die volle Verantwortung übernommen hat für das, was er da zu installieren plant.