Microsoft khắc phục lỗ hổng zero-day, ngăn chặn sự phát tán của phần mềm độc hại trên Windows

Đối với những người chưa biết, tính năng bảo mật Mark of the Web (MoTW) trên Windows đánh dấu các file có nguồn gốc từ Internet để cảnh báo hệ điều hành và các ứng dụng về nguy cơ tiềm ẩn.

Microsoft khắc phục lỗ hổng zero-day, ngăn chặn sự phân phối của phần mềm độc hại trên Windows

Dòng cờ MoTW đặc biệt được thêm vào tập tin như một dòng dữ liệu thay thế, mang tên là 'Zone.Identifier'.

Các Luồng Dữ liệu Thay Thế (Alternate Data Streams) là một tính năng của hệ thống tập tin NTFS, có thể được nhìn thấy thông qua công cụ chuyên dụng hoặc lệnh 'dir /R' trong Command Prompt và mở trực tiếp trong Notepad, như được thể hiện dưới đây.

Khi bạn cố gắng mở một tập tin được đánh dấu bằng Mark of the Web, Windows sẽ cảnh báo về vấn đề bảo mật và yêu cầu xử lý cẩn thận.

Microsoft Office cũng sử dụng Mark of the Web để xác định xem liệu có nên mở tập tin trong chế độ Xem Bảo vệ hay không.

Microsoft vá ngay lập tức lỗ hổng zero-day trong phân phối phần mềm độc hại

Như một phần của bản vá Patch Tuesday tháng 11, Microsoft đã khắc phục nhiều lỗ hổng cho phép tin tặc tạo ra các file có khả năng phá vỡ tính năng bảo mật Mark of the Web. Điều này bao gồm cả việc sửa lỗi mà các kẻ tội phạm mạng thường lạm dụng trong các chiến dịch Phishing và cả lỗi gắn cờ MoTW không ngăn chặn được các file bên trong ISO image.

Trong một khoảng thời gian dài, những kẻ đe dọa đã phổ biến ISO image dưới dạng file đính kèm trong các chiến dịch Phishing để lan truyền phần mềm độc hại đến các mục tiêu.

Kể từ Windows 8, người dùng có thể mở file ISO bằng cách đơn giản kích đúp chuột vào file, điều này sẽ khiến Windows hiểu đó là ổ DVD mới dưới biểu tượng ổ đĩa.

Trong quá trình tải xuống hoặc gửi kèm file ISO, nếu file đó chứa Mark of the Web, bạn sẽ thấy cảnh báo mỗi khi mở. Tuy nhiên, sự cố này khiến cho gắn cờ MoTW không được truyền đối với các loại file không phải là của Microsoft Office, như Windows Shortcuts (file LNK).

Vì vậy, khi người dùng mở file ISO và kích đúp chuột vào file LNK đi kèm, file sẽ tự động chạy mà không có cảnh báo bảo mật từ Windows.

Sau khi cài đặt các bản cập nhật bảo mật trong Patch Tuesday tháng 11 để khắc phục lỗi CVE-2022-41091, Windows sẽ tự động gắn cờ Mark of the Web cho các file ISO và toàn bộ nội dung trong file, đồng thời hiển thị cảnh báo bảo mật khi chạy file LNK.

Ngoài việc vá lỗ hổng gắn cờ cảnh báo trên file ISO, bản cập nhật tháng 11 cũng khắc phục 2 vấn đề về MoTW mà Will Dormann, một chuyên gia phân tích lỗ hổng bảo mật tại ANALYGENCE, đã phát hiện và báo cáo. Một trong những lỗ hổng này đã bị tận dụng.

Lỗi đầu tiên gây ra việc Windows SmartScreen không hoạt động đúng trên Windows 11 22H2 và bỏ qua cảnh báo Mark of the Web khi mở trực tiếp từ file ZIP.

Lỗi thứ hai được đặt tên là 'ZippyReads', có thể bị khai thác một cách đơn giản bằng cách tạo file ZIP chứa file chỉ đọc. Khi mở file lưu trữ này trong Windows Explorer, cờ MoTW sẽ không được truyền cho file chỉ đọc và bỏ qua cảnh báo bảo mật.

Cả hai lỗ hổng này đã được vá như một phần của bản cập nhật bảo mật cho Windows tháng 11 để khắc phục CVE-2022-41049.

Tuy nhiên, vẫn còn một lỗi khác mà Dormann phát hiện chưa được khắc phục. Lỗ hổng này cho phép các file JavaScript hoạt động độc lập vượt qua các cảnh báo của MoTW và tự động thực hiện nếu file được ký bằng chữ ký không đúng định dạng.

Băng nhóm tội phạm mạng phân phối ransomware Magniber đang tích cực tận dụng lỗ hổng này.