September 25, 2023


logo jendela

Windows telah memperbaiki bug yang mencegah tanda Mark of the Web menyebar ke file dalam file ISO yang diunduh, memberikan pukulan besar bagi distributor dan pengembang malware.

Bagi mereka yang tidak terbiasa dengan Mark of the Web (MoTW), ini adalah fitur keamanan Windows yang menandai file yang berasal dari Internet sehingga ditandai sebagai mencurigakan oleh sistem operasi dan aplikasi yang diinstal.

Bendera MoTW ditambahkan ke file sebagai aliran data alternatif yang disebut ‘Zone.Identifier,’ yang mencakup apa Zona keamanan URL file dari, perujuk, dan URL ke file.

Alternate Data Streams adalah atribut file NTFS yang dapat dilihat menggunakan alat khusus atau perintah ‘dir /R’ di Command Prompt dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Aliran data alternatif Mark-of-the-Web
Aliran data alternatif Mark-of-the-Web
Sumber: BleepingComputer

Saat mencoba membuka file dengan tanda Mark of the Web, Windows akan menampilkan peringatan keamanan bahwa file harus diperlakukan dengan hati-hati.

“Sementara file dari Internet dapat bermanfaat, jenis file ini berpotensi membahayakan komputer Anda. Jika Anda tidak mempercayai sumbernya, jangan buka perangkat lunak ini,” bunyi peringatan dari Windows.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW
Peringatan keamanan Windows saat membuka file dengan bendera MoTW
Sumber: BleepingComputer

Microsoft Office juga menggunakan bendera MoTW untuk menentukan apakah file harus dibuka dalam Tampilan Terproteksi, menyebabkan peringatan ditampilkan dan makro dinonaktifkan.

Tampilan Dilindungi Microsoft Office
Tampilan Dilindungi Microsoft Office
Sumber: BleepingComputer

Microsoft memperbaiki Mark of the Web di ISO

Sebagai bagian dari November Patch Selasa pembaruan, Microsoft memperbaiki banyak kerentanan yang memungkinkan pelaku ancaman membuat file yang dapat melewati fitur keamanan Mark of the Web.

Termasuk dalam pembaruan adalah perbaikan tak terduga untuk bug yang biasanya disalahgunakan oleh pelaku ancaman dalam kampanye phishing.

Menurut Bill Demirkapi, seorang insinyur di tim Kerentanan dan Mitigasi Microsoft MSRC, bug telah diperbaiki yang mencegah bendera MoTW menyebar ke file di dalam citra disk ISO.

Tweet Bill Demirkapi

Untuk beberapa waktu, pelaku ancaman telah mendistribusikan gambar disk ISO sebagai lampiran dalam kampanye phishing untuk menginfeksi target dengan malware.

Sejak Windows 8, dimungkinkan untuk membuka file ISO dengan mengklik dua kali padanya, menyebabkan Windows memasangnya sebagai drive DVD di bawah huruf drive baru.

Meskipun file ISO yang diunduh atau dilampirkan akan berisi Tanda Web dan mengeluarkan peringatan saat dibuka, bug tersebut menyebabkan bendera MoTW tidak disebarkan ke jenis file non-Microsoft Office, seperti Pintasan Windows (file LNK).

Oleh karena itu, jika pengguna membuka lampiran ISO dan mengklik dua kali file LNK terlampir, itu akan berjalan secara otomatis tanpa Windows menampilkan peringatan keamanan, seperti yang ditunjukkan di bawah ini.

Demonstrasi file LNK dalam gambar ISO melewati peringatan MoTW
Demonstrasi file LNK dalam gambar ISO melewati peringatan MoTW
Sumber: BleepingComputer

Setelah menginstal pembaruan keamanan November Patch Tuesday untuk CVE-2022-41091Windows sekarang akan menyebarkan tanda Mark of the Web dari file ISO ke semua kontennya dan menampilkan peringatan keamanan dengan benar saat meluncurkan file LNK.

Tanda Web disebarkan ke file di dalam ISO
Tanda Web disebarkan ke file di dalam ISO
Sumber: BleepingComputer

Dua bug MoTW lainnya diperbaiki

Selain memperbaiki propagasi ISO MoTW, pembaruan November juga memperbaiki dua bug MoTW yang ditemukan dan dilaporkan oleh Will Dormannseorang analis kerentanan senior di ANALYGENCE, yang salah satunya dieksploitasi secara aktif di alam liar oleh aktor ancaman.

Bug pertama menyebabkan Windows SmartScreen gagal pada Windows 11 22H2 dan melewati peringatan Mark of the Web saat membuka file langsung dari arsip ZIP.

Bug kedua, dijuluki ‘ZippyReads,’ dapat dieksploitasi hanya dengan membuat file ZIP yang berisi file hanya-baca. Saat arsip ini dibuka di Windows Explorer, bendera MoTW tidak akan disebarkan ke file hanya-baca dan mengabaikan peringatan keamanan.

Kedua kerentanan ini telah diperbaiki sebagai bagian dari pembaruan keamanan Windows November untuk CVE-2022-41049.

Namun, bug lain yang ditemukan Dormann tetap tidak diperbaiki, memungkinkannya berdiri sendiri File JavaScript untuk melewati peringatan MoTW dan secara otomatis menjalankan skrip jika file ditandatangani menggunakan tanda tangan yang salah format.

Karena pelaku ancaman yang mendistribusikan ransomware Magniber secara aktif mengeksploitasi bug ini, kami kemungkinan akan segera melihat perbaikannya.



Leave a Reply

Your email address will not be published. Required fields are marked *