您现在的位置是:首页 > 作品 >

作品

微软 Windows 被爆零日漏洞,恶意软件可不显示“网络标记”下

2025-02-07 00:11:51作品68
微软 Windows 被爆零日漏洞,恶意软件可不显示“网络标记”下 IT之家 11 月 22 日消息,当你从不受信任的远程位置(如某个网站或者附件)下载文件之后,Windows 系统会给文件添加一个特殊属性,称为“网络标记”(Mark of the Web,简称 MoTW)。而近日 Windows 系统中曝光了一个零日漏洞,可以在不显示“网络标记”的情况下投放 Qbot 恶意软件。I

微软 Windows 被爆零日漏洞,恶意软件可不显示“网络标记”下

IT之家 11 月 22 日消息,当你从不受信任的远程位置(如某个网站或者附件)下载文件之后,Windows 系统会给文件添加一个特殊属性,称为“网络标记”(Mark of the Web,简称 MoTW)。

而近日 Windows 系统中曝光了一个零日漏洞,可以在不显示“网络标记”的情况下投放 Qbot 恶意软件。

IT之家了解到,MoTW 是一个补充数据流,包含诸如 URL 安全区、推荐者、下载 URL 等文件信息。当用户试打开一个带有 MoTW 属性的文件时,Windows 将显示一个安全警告,询问他们是否确定要打开该文件。

该警告会显示:“虽然来自互联网的文件可能是有用的,但这种文件类型有可能损害你的计算机。如果你不相信来源,请不要打开这个软件”。

惠普威胁情报团队(HP Threat Intelligence)上月报告说,在发现的一次网络攻击钓鱼活动中发现黑客以 JavaScript 文件的形式分发 Magniber 软件。这些 JavaScript 文件与网站上使用的不一样,而是带有“.JS”扩展名的独立文件,使用 Windows 脚本主机()执行。

在分析了这些文件后,AALYGECE 的高级漏洞分析师 Will Dormann 发现,威胁者使用了一个新的 Windows 零日漏洞,该漏洞使网络安全警告中的标记无法显示。

通过利用这个漏洞,JS 文件(或其它类型的文件)可以使用嵌入式 base64 编码的签名块进行签名。之后用户打开这些恶意软件,并没有被微软 SmartScreen 标记并显示 MoTW 安全警告,而是自动允许该程序运行。

这种 QBot 恶意软件钓鱼活动分发了包含 ISO 镜像、密码保护的 ZIP 文件。这些 ISO 镜像包含一个 Windows 快捷方式和 DLLs 来安装恶意软件。

IT之家了解到,

微软在 2022 年 11 月补丁星期二活动日发布的累积更新中,已经修复了这个漏洞。

相关文章

留言与评论(共有 19 条评论)
注册新账号 登录
本站网友 腾讯qq微博
21分钟前 发表
如果你不相信来源
本站网友 恩替卡韦分散片
21分钟前 发表
IT之家了解到
本站网友 染发剂怎么洗掉
29分钟前 发表
MoTW 是一个补充数据流
本站网友 中天证券
8分钟前 发表
该警告会显示:“虽然来自互联网的文件可能是有用的
本站网友 芒市宾馆
13分钟前 发表
之后用户打开这些恶意软件
本站网友 信托100
1分钟前 发表
并没有被微软 SmartScreen 标记并显示 MoTW 安全警告
本站网友 点色
13分钟前 发表
AALYGECE 的高级漏洞分析师 Will Dormann 发现
本站网友 房价排名
15分钟前 发表
下载 URL 等文件信息
本站网友 煤炭工业济南设计研究院有限公司
21分钟前 发表
Windows 将显示一个安全警告
本站网友 哈哈岛
5分钟前 发表
称为“网络标记”(Mark of the Web
本站网友 天津市妇幼保健
28分钟前 发表
这些 ISO 镜像包含一个 Windows 快捷方式和 DLLs 来安装恶意软件
本站网友 男性脱发的原因
29分钟前 发表
已经修复了这个漏洞
本站网友 山茶
14分钟前 发表
包含诸如 URL 安全区
本站网友 ph66
4分钟前 发表
这些 JavaScript 文件与网站上使用的不一样
本站网友 个人贷款抵押房屋保险
16分钟前 发表
通过利用这个漏洞
本站网友 齐格林斯基
6分钟前 发表
但这种文件类型有可能损害你的计算机
本站网友 佛山创意产业园
29分钟前 发表
这些 JavaScript 文件与网站上使用的不一样
本站网友 淀山湖红顶度假村
18分钟前 发表
推荐者