微软 Windows 被爆零日漏洞，恶意软件可不显示“网络标记”下 IT之家11月22日消息

IT之家11月22日消息，当你从不受信任的远程位置（如某个网站或者电子邮件附件）下载文件之后， Windows系统会给文件添加一个特殊属性，称为“网络标记”（MarkoftheWeb ，简称MoTW）。而近日Windows系统中曝光了一个零日漏洞，可以在不显示“网络标记”的情况下投放Qbot恶意软件。

文章图片
IT之家了解到， MoTW是一个补充数据流，包含诸如URL安全区、推荐者、下载URL等文件信息。当用户试图打开一个带有MoTW属性的文件时， Windows将显示一个安全警告，询问他们是否确定要打开该文件。

文章图片
该警告会显示：“虽然来自互联网的文件可能是有用的，但这种文件类型有可能损害你的计算机。如果你不相信来源，请不要打开这个软件” 。
惠普威胁情报团队（HPThreatIntelligence）上月报告说，在发现的一次网络攻击钓鱼活动中发现黑客以JavaScript文件的形式分发Magniber勒索软件。这些JavaScript文件与网站上使用的不一样，而是带有“.JS”扩展名的独立文件，使用Windows脚本主机（wscript.exe）执行。

文章图片

文章图片

文章图片

文章图片
在分析了这些文件后， ANALYGENCE的高级漏洞分析师WillDormann发现，威胁者使用了一个新的Windows零日漏洞，该漏洞使网络安全警告中的标记无法显示。
通过利用这个漏洞， JS文件（或其它类型的文件）可以使用嵌入式base64编码的签名块进行签名。之后用户打开这些恶意软件，并没有被微软SmartScreen标记并显示MoTW安全警告，而是自动允许该程序运行。
这种QBot恶意软件钓鱼活动分发了包含ISO镜像、密码保护的ZIP文件。这些ISO镜像包含一个Windows快捷方式和DLLs来安装恶意软件。
【微软 Windows 被爆零日漏洞，恶意软件可不显示“网络标记”下】IT之家了解到，微软在2022年11月补丁星期二活动日发布的累积更新中，已经修复了这个漏洞。