La faille MotW de Microsoft Windows est exploitée à l’état sauvage ; un micropatch gratuit est disponible via 0patch
Une faille zero-day dans les étiquettes Windows Mark of the Web (MotW) est activement exploitée par des attaquants. MotW est connu pour être appliqué aux fichiers d’archives ZIP extraits, aux exécutables et aux documents provenant d’endroits non fiables sur le Web. (passant par Ordinateur qui bipe)
Donc, s’il s’agissait d’un ZIP au lieu d’un ISO, MotW irait-il bien ?
Pas vraiment. Même si Windows essaie d’appliquer MotW au contenu ZIP extrait, c’est vraiment très mauvais.
Sans trop d’efforts, j’ai ici un fichier ZIP dont le contenu ne conserve AUCUNE protection de Mark of the Web. pic.twitter.com/1SOuzfca5q– Will Dormann (@wdormann) 5 juillet 2022
Les étiquettes servent de couche de protection et de mécanisme de sécurité qui avertit votre système, y compris d’autres programmes et applications, des menaces et des logiciels malveillants possibles si un fichier spécifique est installé. Ainsi, les attaquants empêchant l’application des étiquettes MotW, les signaux d’avertissement ne seront pas exécutés, laissant les utilisateurs inconscients des menaces qu’un fichier pourrait avoir. Heureusement, bien qu’il n’y ait toujours pas de correctif officiel de Microsoft concernant ce problème, 0patch en propose un que vous pouvez obtenir maintenant.
« Les attaquants préfèrent donc naturellement que leurs fichiers malveillants ne soient pas marqués avec MOTW ; cette vulnérabilité leur permet de créer une archive ZIP de sorte que les fichiers malveillants extraits ne seront pas marqués », écrit Mitja Kolsek, co-fondateur de 0patch et PDG d’ACROS Security, dans un Publier expliquant la nature de MotW en tant que mécanisme de sécurité important dans Windows. « Un attaquant pourrait livrer des fichiers Word ou Excel dans un ZIP téléchargé dont les macros ne seraient pas bloquées en raison de l’absence du MOTW (selon les paramètres de sécurité des macros Office), ou échapperaient à l’inspection par Smart App Control. »
Le problème a été signalé pour la première fois par un analyste principal des vulnérabilités de la société de solutions informatiques Analygence nommé Will Dormann. Fait intéressant, Dormann a d’abord présenté le problème à Microsoft en juillet, mais malgré la lecture du rapport en août, un correctif n’est toujours pas disponible pour chaque utilisateur Windows concerné.
Presque la même réponse a été rencontrée par le problème précédent découvert par Dormann en septembre, où il a découvert Liste de blocage des pilotes vulnérables obsolètes de Microsoftentraînant l’exposition des utilisateurs à des pilotes malveillants depuis 2019. Microsoft n’a pas officiellement commenté le problème, mais le chef de projet Jeffery Sutherland a participé à la série de tweets de Dormann en octobre, affirmant que des solutions sont déjà disponibles pour résoudre le problème.
À l’heure actuelle, des rapports indiquent que la faille MotW est toujours exploitée à l’état sauvage, tandis que Microsoft ne sait toujours pas comment il va le résoudre. Néanmoins, 0patch propose des correctifs gratuits qui peuvent servir d’alternatives temporaires pour les différents systèmes Windows concernés jusqu’à l’arrivée d’une solution Microsoft. Dans le message, Kolsek indique que le correctif couvre les systèmes Windows 11 v21H2, Windows 10 v21H2, Windows 10 v21H1, Windows 10 v20H2, Windows 10 v2004, Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 v1803, Windows 7 avec ou sans ESU, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 et Windows Server 2008 R2 avec ou sans ESU.
Pour les utilisateurs actuels de 0patch, le correctif est déjà disponible sur tous les agents 0patch en ligne. Pendant ce temps, ceux qui découvrent la plateforme peuvent créer un compte 0patch gratuit pour enregistrer un agent 0patch. L’application du correctif est dite automatique et aucun redémarrage n’est nécessaire.