微軟 Windows 被爆零日漏洞，惡意軟體可不顯示“網路標記”下

win7之家11月22日訊息，當你從不受信任的遠端位置(如某個網站或者電子郵件附件)下載檔案之後，Windows 系統會給檔案新增一個特殊屬性，稱為“網路標記”(Mark of the Web，簡稱 MoTW)。而近日 Windows 系統中曝光了一個零日漏洞，可以在不顯示“網路標記”的情況下投放 Qbot 惡意軟體。

win7之家瞭解到，MoTW 是一個補充資料流，包含諸如 URL 安全區、推薦者、下載 URL 等檔案資訊。當使用者試圖開啟一個帶有 MoTW 屬性的檔案時，Windows 將顯示一個安全警告，詢問他們是否確定要開啟該檔案。

該警告會顯示：“雖然來自網際網路的檔案可能是有用的，但這種檔案型別有可能損害你的計算機。如果你不相信來源，請不要開啟這個軟體”。

惠普威脅情報團隊(HP Threat Intelligence)上月報告說，在發現的一次網路攻擊釣魚活動中發現駭客以 JavaScript 檔案的形式分發 Magniber 勒索軟體。這些 JavaScript 檔案與網站上使用的不一樣，而是帶有“.JS”副檔名的獨立檔案，使用 Windows 指令碼主機(wscript.exe)執行。

在分析了這些檔案後，ANALYGENCE 的高階漏洞分析師 Will Dormann 發現，威脅者使用了一個新的 Windows 零日漏洞，該漏洞使網路安全警告中的標記無法顯示。

透過利用這個漏洞，JS 檔案(或其它型別的檔案)可以使用嵌入式 base64 編碼的簽名塊進行簽名。之後使用者開啟這些惡意軟體，並沒有被微軟 SmartScreen 標記並顯示 MoTW 安全警告，而是自動允許該程式執行。

這種 QBot 惡意軟體釣魚活動分發了包含 ISO 映象、密碼保護的 ZIP 檔案。這些 ISO 映象包含一個 Windows 快捷方式和 DLLs 來安裝惡意軟體。

win7之家瞭解到，微軟在 2022 年 11 月補丁星期二活動日釋出的累積更新中，已經修復了這個漏洞。