0PATCH

Uoffisiell sikkerhetsfiks fjerner sårbarhet som Microsoft drøyer med å fikse

Sårbarheten gjør det mulig å omgå sikkerhetsfunksjon i Windows.

Det er nå mulig å fjerne den zip-fil-relaterte «Mark of the Web»-sårbarheten i Windows selv om Microsoft ennå ikke har kommet med noen offisiell sikkerhetsfiks.
Det er nå mulig å fjerne den zip-fil-relaterte «Mark of the Web»-sårbarheten i Windows selv om Microsoft ennå ikke har kommet med noen offisiell sikkerhetsfiks. Illustrasjon: digi.no
Harald BrombachHarald BrombachNyhetsleder
18. okt. 2022 - 17:00

Når man i Windows laster ned en fil til PC-en fra for eksempel internett eller en minnepinne, utstyres filen med et flagg som forteller Windows at filen ikke nødvendigvis er til å stole på fordi den kommer fra en potensielt upålitelig kilde. 

Dette flagget kalles for Mark of the Web (MotW), som kan varsle brukeren om at filen er potensielt skadelig, og blokkere kjøringen av eventuelt kjørbart innhold i filen, for eksempel makroer i en Office-fil.

Zip-filer

I mai oppdaget sikkerhetsforskeren Will Dormann at MotW-funksjonaliteten kan enkelt omgås med filer som er lagret i et zip-arkiv. Selve zip-filen blir merket med MotW, men innholdet gjør det ikke. Dermed tolker Windows dette som pålitelige filer. Dormann offentliggjorde detaljene om dette i juli i år.

Det er i flere Windows-versjoner mulig å se om en fil har blitt lastet ned via for eksempel internett, ved å se etter feltet «Sikkerhet» i egenskapene til den aktuelle filen. <i>Skjermbilde:  Digi.no</i>
Det er i flere Windows-versjoner mulig å se om en fil har blitt lastet ned via for eksempel internett, ved å se etter feltet «Sikkerhet» i egenskapene til den aktuelle filen. Skjermbilde:  Digi.no

– […] en angriper kan levere Word- eller Excel-filer i en nedlastet zip-fil, og disse vil ikke få makroene sine blokkert på grunn av fraværet av MotW-en, skriver Mitja Kolsek i et blogginnlegg

Han er medlem av 0Patch-teamet som nå har kommet med en uoffisiell, gratis mikropatch til blant annet Windows 10 og 11, samt Windows Server 2008 og nyere. Micropatchen sørger for at også innholdet i nedlastede zip-filer blir behandlet som om de har MotW-flagget, noe som vises i videoen nedenfor.

Årsaken til utgivelsen av mikropatchen er at Microsoft ennå ikke har kommet med noen offisiell sikkerhetsfiks som fjerner sårbarheten. Dette til tross for at selskapet ble varslet om sårbarheten i juli i år. Ifølge Bleeping Computer, som også har omtalt mikropatchen, har det kommet rapporter om at sårbarheten har blitt utnyttet i aktive angrep. 

Kronikken er skrevet av Bjørn Tore Hellesøy som privatperson. Bildet er fra kommandosentralen til Nasjonalt cybersikkerhetssenter (NCSC), som overvåker digitale angrep og trusler mot norske interesser.
Les også

Det er spesielt ein ting som skurrar i nasjonale trusselvurderingar

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.