研究人员发现一项早先暴露的Windows漏洞,在微软发布修补程序之前,又让恶意JavaScript档绕过Windows用以防范网页恶意文件的MotW机制。
上个月HP威胁研究部门人员发现勒索软件Magniber的攻击行动。攻击者以杀毒或Windows更新诱骗用户下载一个内置JavaScript档的压缩文件。在此之前Magniber都是以MSI和EXE档掩饰,而这是它第一次使用JavaScript档。
图片来源/HP
至于从网站上下载的文件何以能在Windows上执行,引发知名安全研究人员Will Dormann好奇,因为Windows MotW并未启动。他在今年7月披露Windows的MotW漏洞。MotW(Mark of the Web)是Windows的安全功能,会针对从网络上下载的文件给予一个MoTW标签,作为在NTFS文件系统的ADS(Alternate Data Streams)档。当打开具有MoTW标签的文件,Windows就会显示警告,要求用户小心。
Dormann 7月发现到的漏洞让黑客得以干扰Windows的MotW设置,使Windows解压缩ZIP文件时,就算某些文件来自不可靠的来源也不会出现MotW及警示。微软一直没有修补,另一家安全厂商0Patch则于上周发布非官方修补程序。
Magniber攻击者传播的JavaScript档有MotW,但Windows仍然没有显示警示。Dormann发现,攻击者使用来签发该JavaScript档的签章档,是变造过的Authenticode签章,则可以跳过Windows 10的Smart Screen或警示,不论JavaScript档内容为何。
图片来源/Will Dormann
Dormann还说,这个技俩也能用在操弄.EXE档,而让恶意执行文件在Windows上执行。
研究人员相信,这个问题在修补完全的Windows 8.1并不会发生,因此可以推论,这个漏洞(或瑕疵)是从Windows 10才有的。
研究人员对Bleeping Computer表示,这问题是出在Windows 10的“应用程序和文件检查”功能SmartScreen。只要关闭这功能,就能让Windows MotW功能发生作用,而发出安全警告。
用户可以在“Windows安全性”>“应用程序&浏览器控制”>“信誉评级防护设置”下关闭该服务。