Windows und das "Mark of the Web" (MotW) Sicherheitsproblem

Windows[English]Es war eine Meldung die Tage, dass die BlueNoroff APT-Hacker neue Techniken verwenden, um die "Mark of the Web"-Schutzmaßnahmen von Windows zu umgehen, die mich bewogen haben, das Thema nochmals im Blog hochzuholen. Denn MotW, wie es kurz genannt wird, kam die letzten Monate häufiger vor – erst, weil Microsoft eine MotW-Schwachstelle nicht schließen wollte. Und dann doch noch einen Patch für eine Schwachstelle veröffentlicht hat.


Anzeige

Hintergrund: Mark of the Web

Dateien aus dem Internet oder ähnliche Quellen könnten Schadsoftware enthalten. Daher hat sich Microsoft vor Jahren einen Sicherheitsmechanismus überlegt, bei dem diese Dateien mit einem Mark of the Web (MOTW) Flag gekennzeichnet werden. Windows kann eine Sicherheitswarnung anzeigen, bevor eine ausführbare Datei mit einem gesetzten MotW-Flag geöffnet und gestartet wird.

Die Schutzfunktion Smart App Control wertet beispielsweise dieses Flag aus und soll in Windows 11 einen besseren Schutz vor neuen und aufkommenden Bedrohungen bieten, indem bösartige oder nicht vertrauenswürdige Apps blockiert werden. Smart App Control soll auch dabei helfen, potenziell unerwünschte Apps zu blockieren. Hierbei handelt es sich um Apps, die dazu führen können, dass Ihr Gerät langsam läuft, unerwartete Werbung angezeigt wird, zusätzliche Software angeboten wird, die vom Nutzer nicht erwünscht ist. Auch Microsoft Office blockiert Makros in Dokumenten mit MOTW (Quelle).

Ein Bug in Windows

Ich hatte es im Blog-Beitrag Windows (Mark of the Web) 0-day per JavaScript für Ransomware-Angriffe genutzt bereits adressiert. Böswillige Angreifer versuchen den MotW-Sicherheitsmechanismus zu umgehen, indem sie Wege suchen, um bösartige Dateien aus dem Internet ohne das gesetzte Flag auf die Systeme der Opfer zu schmuggeln.

ZIP MotW vulnerability

Sicherheitsforscher Will Dormann ist im Mai 2022 auf diese Schwachstelle in Windows gestoßen, die es einem Angreifer ermöglicht, Windows daran zu hindern, die Markierung "Mark of the Web" für Dateien zu setzen, die aus einem ZIP-Archiv extrahiert wurden. Das gilt selbst für den Fall, dass die ZIP-Archiv aus einer nicht vertrauenswürdigen Quelle wie dem Internet, einer E-Mail oder von einem USB-Stick stammt. Damit werden Microsofts schöne Sicherheitslösungen unwirksam.

Microsoft reagierte (erst) nicht …

Will Dormann hatte Microsoft im Juli 2022 über dieses Problem informiert, aber eine offizielle Lösung wurde noch nicht bereitgestellt. Es gab weder einen Patch, geschweige denn, eine CVE-Kennung für die Schwachstelle, die nicht unbemerkt blieb. Denn diese Sicherheitslücke wurde offenbar seit einigen Monaten in freier Wildbahn ausgenutzt (siehe auch Windows (Mark of the Web) 0-day per JavaScript für Ransomware-Angriffe genutzt).

Daher hat sich ACROS Security dem Problem gewidmet und einen 0Patch Micropatch zum Schließen entwickelt. Der Patch ist seit Oktober 2022 frei verfügbar, benötigt wird lediglich der 0patch-Agent. Ich hatte im Blog-Beitrag Windows: 0Patch Micropatch für MOTOW-ZIP-File-Bug (0-day, kein CVE) über diesen kostenlosen Micropatch berichtet, der die Ausnutzbarkeit der Schwachstelle blockiert.

Erst zum November 2022 Patchday wird ein Fix für Mark of the Web (MotW) in der Übersicht von Microsoft erwähnt (siehe Microsoft Security Update Summary (8. November 2022)), ohne Details zu verraten. Will Dormann hatte in diesem Tweet dann einige Hinweise zur MotW-Schwachstelle CVE-2022-41091 gegeben.


Anzeige

Dormann about MotW vulnerability CVE-2022-41091

Im Dezember gab es dann zum Patchday noch einen Nachschlag (siehe Microsoft Security Update Summary (13. Dezember 2022)). Microsoft bestätigte einen Fix für eine weitere MoTW-Schwachstelle CVE-2022-44698 Windows SmartScreen security feature bypass vulnerability (MoTW), stufte diese aber als moderat ein.

BlueNoroff APT-Hacker nutzen MotW

Ende Dezember 2022 gab es dann eine Warnung, dass die APT-Gruppe BlueNoroff die Mark of the Web (MotW)-Schwachstelle nutzen, um Angriffe auf Opfer zu fahren. Die BlueNoroff APT-Hacker verwenden neue Techniken, um die Mark of the Web-Schutzmaßnahmen von Windows zu umgehen.

BlueNoroff APT hackers are abusing MotW

BlueNoroff APT ist eine Untergruppe der Lazarus-Gruppe (mutmaßlich Nordkorea). Die Angreifer verwenden eine neuartige Infektionskette, bei der auch Dateiformate für optische Datenträgerabbilder (.ISO-Erweiterung) und virtuelle Festplatten (.VHD-Erweiterung) zum Einsatz kommen. Alles mit dem Ziel, das MotW-Flag und die Erkennung durch Microsofts Sicherheitslösungen zu umgehen. Kaspersky hat das Ganze aufgedeckt, The Hacker News hat das Ganze in diesem Blog-Beitrag aufbereitet.

Aus beiden Beiträgen geht nicht hervor, ob diese Infektionsvektoren durch die von Microsoft freigegebenen Sicherheitsupdates für Windows (oder durch die 0patch-Lösung) verhindert werden. Der obige Abriss zeigt aber, wie langsam Microsoft oft auf gemeldete Schwachstellen reagiert und dann von Angreifern vorgeführt wird.

Das ging mir beim Schreiben des Beitrags jetzt spontan durch den Kopf, da momentan ja wieder (vom Microsoft Marketing) "Voodoo geblasen wird" weil Windows 7 SP1, Windows 8.1 und Windows Server 2008 R2 zum 10. Januar 2023 letztmalig Sicherheitsupdates erhalten. Am 11. Januar 2023 bricht dann die IT-Sicherheit des Abendlands zusammen – weil nur Windows 10 /11 die "guten" Sicherheitslücken enthalten, die dann hoffentlich irgendwann gepatcht werden.

Es wird in Zukunft darauf ankommen, wie Administratoren ihre Systeme so absichern, dass verschiedene Angriffsvektoren erst gar nicht auftreten können. Neben zeitnahen Updates (die wegen zahlreicher Bugs zum Lotteriespiel werden) gehören auch weitere Maßnahmen wie die Begrenzung der ausführbaren Anwendungen, die Überwachung der Systeme mittels EDR und SIEM Lösungen etc. dazu. Das Verlassen auf "Microsoft wird schon patchen" funktionierte ja bereits in der Vergangenheit mehr schlecht als recht.

Ähnliche Artikel:
Windows: 0Patch Micropatch für MotW-Bypassing 0-day (kein CVE)
Microsoft Security Update Summary (8. November 2022)
Microsoft Security Update Summary (13. Dezember 2022)
Windows (Mark of the Web) 0-day per JavaScript für Ransomware-Angriffe genutzt


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

24 Antworten zu Windows und das "Mark of the Web" (MotW) Sicherheitsproblem

  1. Stephan sagt:

    Die Idee, Downloads zu markieren, war schon immer bescheuert. Aber was besseres ist ihnen halt schon damals nicht eingefallen …

  2. 1ST1 sagt:

    "Es wird in Zukunft darauf ankommen, wie Administratoren ihre Systeme so absichern, dass verschiedene Angriffsvektoren erst gar nicht auftreten können."

    In Zukunft? Wer das jetzt noch nicht macht, ist bereits im Sack.

  3. Paul sagt:

    "potenziell unerwünschte Apps zu blockieren."
    PUA sind Tools die eigentlich gut sind, aber Bestandteil von Scammer Paketen missbraucht wurden. Siehe hier Process Hacker.
    Manche Virenscanner (Sophos) melden auch neuere Versionen des Tools als PUA, andere nur genau die Version, die als Teil eines scamming Paketes bekannt wurden(z.B. weil gecrackt, kann sie nicht do einfach ausgetauscht werden. )

    " Hierbei handelt es sich um Apps, die dazu führen können, dass Ihr Gerät langsam läuft,"
    Das sind keine PUA. Das nennt sich in Viren-Scanner-Sprech z. B. "Addware". Das ist auch nicht zwingend böse. Z. B. gab es mal einen PDF Drucker, der Werbung aus fremden Quellen in seinem Setup Dialog einblendete, wenn man ihn nicht lizenziert hatte.

    Anyway:
    Es ist nicht nachvollziehbar warum sich MS weigerte diesen gängigen Anfängerfehler zu reparieren.
    Vermutlich hat MS wirklich kein echtes Interesse daran, wirklich konsequent wirksam gegen Viren vorzugehen.

  4. Paul sagt:

    "Es wird in Zukunft darauf ankommen, wie Administratoren ihre Systeme so absichern, dass verschiedene Angriffsvektoren erst gar nicht auftreten können."

    Ja. FRÜHER war jedem Administrator klar, das "Firewall" ein "System", ein "Konzept" darstellt und nicht einfach eine Kiste ist, die ein paar Regeln auf Netzwerk- Daten anwendet.
    Es fängt ganz trivial damit an, ob Clients x-beliebige DNS benutzen dürfen. Warum sollten sie?
    Weil man so das Geld für entsprechende Proxies sparen kann?

    • Daniel sagt:

      Früher waren Administratoren auch vom Fach und hatten eine Ausbildung. Und heute wird doch oft ein Mitarbeiter dazu aufgefordert "Sie haben doch Ahnung von Computern machen Sie das mal mit." Da kommt sowas bei raus.

      • Stephan sagt:

        Warum müssen die denn so viel selbst administrieren? Beim iPhone ist die Besitzerin selbst Administrator und es führt keine unerwünschten Mailanhänge aus.

        • Chris sagt:

          Nein ein iPhone Besitzer ist im Kontext gesehen nur ein Benutzer mit eingeschränkten Rechten, kein Administrator.

          Ansonsten bräuchte man auch keine "Jailbreaks" um das System zu öffnen.

          Und im Firmenumfeld ist es einen iPhone Benutzer noch nicht mal erlaubt selber Apps zu installieren, da ist der App Store gesperrt und die Apps werden Zentral im MDM freigegeben.

          Gruß

  5. Stephan sagt:

    «Während des Auswertungsmodus haben wir festgestellt, dass Sie kein guter Kandidat für smarte App-Steuerung waren.»

    Was ist denn das schon wieder für ein Quark?

    https://support.microsoft.com/de-de/topic/was-ist-smart-app-control-285ea03d-fa88-4d56-882e-6698afdb7003

  6. Gero sagt:

    Immer diese Apple Vergleiche *Augenroll*….
    Komm, lass uns einfach ALLES durch Apple Produkte ersetzen. Admins können sich dann endlich Sinnvolle Jobs suchen.
    Es wäre bestimmt Magic ….

  7. R.S. sagt:

    Diese Markierung lässt sich doch spielend einfach entfernen.
    Das ist nur ein alternativer Datenstrom (ADS) im NTFS-Verzeichniseintrag und mit Tools wie z.B. AlternateStreamView lassen sich die Einträge entfernen.
    Warum sollte eine Malware nicht gleiches tun können?
    Diese Markierung war noch nie ein echter Schutz und wird es auch nie werden können.

    • Stephan sagt:

      Man kann auch in den «Eigenschaften» mit Klick die Markierung entfernen.

    • Anonymous sagt:

      Download auf einem FAT32-Stick zum Kumpel tragen und der Spuk ist weg.

    • Paul sagt:

      Stimmt.
      Der User der das runtergeladen hat, kann das Flag löschen.
      Eigentlich müsste es einen 2. User geben, oder es soweit getrieben werden wie bei Android.

      Und wenn er das Zip per commando Zeile auf eine FAT-Partition kopiert und wiederzurück?
      Dabei geht der stream verloren.
      Also verbieten wir FAT USB Sticks.

      Aber wer etwas mit der Kommanodo Zeile machen kann ist ja eh schon ein Häckler und somit böse…

      • Stephan sagt:

        Manchmal kommen zwei Dateien mit komischen Namen heraus, wenn man eine Dateien von NTFS woanders hinkopiert. Kenne das aus gemischten Umgebungen mit Windows und Linux.

    • Michael sagt:

      Die Angriffskette bildest du hier falsch ab. Um das MOTW zu entfernen, müsste die Malware bereits Zugriff auf das Filesystem haben, wenn es das aber schon hat, bräuchte es das MOTW gar nicht erst entfernen ;) daher die Bemühungen zur Umgehung.

  8. McAlex777 sagt:

    "Mark of the Web" kann nur das sein, was es ist: Eine Markierung, ein Hinweis.

    Bei allem weiteren ist doch klar das man sich da nicht drauf verlassen kann.

    Manchmal versteh ich Microsoft nicht, warum die immer Krampfhaft versuchen solch einen Kram umzusetzen, der schlussendlich immer irgendwo verbuggt enden muss.

  9. Franz sagt:

    Man sollte sich von dem "Mark of the Web" auch nicht zu viel erwarten. Es soll einfach Dateien aus potential unsichererem Umfeld markieren. Wenn es denn richtig funktioniert. Dass ein unbedarfter Anwender nicht ausversehen z.B. irgendwelche Excel Files die er per Mail oder aus dem Internet heruntergeladen hat direkt ausführen kann. Bzw. dass eben die enthaltenen Makros nicht direkt starten.

    Klar kann der Anwender das Flag relativ einfach entfernen. Aber er kann auch im Auto den Sicherheitsgurt lösen und ohne rumfahren. Also da muss er schon bewusst selber aktiv werden.

    Und ja, irgendwelche Malware kann das Flag auch entfernen. Aber wenn die Malware schon auf dem Rechner drauf ist, gibt es schon ein anderes Problem, da ist das MotW dann ohnehin das kleinere Problem.

Schreibe einen Kommentar zu Gero Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.