Windows 10零時差漏洞讓惡意JavaScript繞過內建的MotW安全機制

2023-03-08

研究人員發現一項早先曝露的Windows漏洞，在微軟釋出修補程式之前，又讓惡意JavaScript檔繞過Windows用以防範網頁惡意檔案的MotW機制。

日前HP威脅研究部門人員發現勒索軟體Magniber的攻擊行動。攻擊者以防毒或Windows更新誘騙用戶下載一個內含JavaScript檔的壓縮檔。在此之前Magniber都是以MSI和EXE檔掩飾，而這是它第一次使用JavaScript檔。

至於從網站上下載的檔案何以能在Windows上執行，引發知名安全研究人員Will Dormann好奇，因為Windows MotW並未啟動。他在去年7月揭露Windows的MotW漏洞。MotW（Mark of the Web）是Windows的安全功能，會針對從網路上下載的檔案給予一個MoTW標籤，作為在NTFS檔案系統的ADS（Alternate Data Streams）檔。當開啟具有MoTW標籤的檔案，Windows就會顯示警告，要求使用者小心。

Dormann 7月發現到的漏洞讓駭客得以干擾Windows的MotW設定，使Windows解壓縮ZIP檔案時，就算某些檔案來自不可靠的來源也不會出現MotW及警示。微軟一直沒有修補，另一家安全廠商0Patch則於上周釋出非官方修補程式。

Magniber攻擊者散布的JavaScript檔有MotW，但Windows仍然沒有顯示警示。Dormann發現，攻擊者使用來簽發該JavaScript檔的簽章檔，是變造過的Authenticode簽章，則可以跳過Windows 10的Smart Screen或警示，不論JavaScript檔內容為何。

Dormann還說，這個技倆也能用在操弄.EXE檔，而讓惡意執行檔在Windows上執行。

研究人員相信，這個問題在修補完全的Windows 8.1並不會發生，因此可以推論，這個漏洞（或瑕疵）是從Windows 10才有的。

研究人員對Bleeping Computer表示，這問題是出在Windows 10的「應用程式和檔案檢查」功能SmartScreen。只要關閉這功能，就能讓Windows MotW功能發生作用，而發出安全警告。

用戶可以在「Windows安全性」＞「應用程式&瀏覽器控制」＞「信譽評等防護設定」下關閉該服務。

（相關資訊來自iThome）