{"id":274054,"date":"2022-10-18T08:13:08","date_gmt":"2022-10-18T06:13:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=274054"},"modified":"2022-10-18T12:01:24","modified_gmt":"2022-10-18T10:01:24","slug":"windows-0patch-micropatch-fr-motow-zip-file-bug-kein-cve","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/18\/windows-0patch-micropatch-fr-motow-zip-file-bug-kein-cve\/","title":{"rendered":"Windows: 0Patch Micropatch für MOTOW-ZIP-File-Bug (0-day, kein CVE)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Seit Mai 2022 ist ein Bug in Windows bekannt, der verhindert, dass das \"Mark of the Web\"-Flag bei aus ZIP-Archiven entpackten Dateien gesetzt wird. Microsoft selbst hat bisher keinen Patch f\u00fcr diese 0-day Schwachstelle freigegeben. Die Schwachstelle wird bereits ausgenutzt. Daher hat sich ACROS Security dem Problem gewidmet und einen 0Patch Micropatch zum Schlie\u00dfen entwickelt. Der Patch ist frei verf\u00fcgbar, ben\u00f6tigt wird lediglich der 0patch-Agent.<\/p>\n

<\/p>\n

\"\"Mitja Kolsek, der Gr\u00fcnder von ACROS Security hat mich vor einigen Stunden in einer pers\u00f6nlichen Mitteilung \u00fcber diesen Micropatch informiert, das Ganze aber auch in nachfolgendem Tweet<\/a> sowie die Details in diesem Blog-Beitrag<\/a> \u00f6ffentlich gemacht.<\/p>\n

\"Bypassing<\/a><\/p>\n

Worum geht es bei MOTW?<\/h2>\n

Windows kann eine eine Sicherheitswarnung anzeigen, bevor eine ausf\u00fchrbare Datei, die aus dem Internet heruntergeladen wurde, ge\u00f6ffnet und gestartet wird. Diese \"Smart App Control<\/a>\" funktioniert nur bei Dateien, bei denen das Mark of the Web (MOTW) Flag gesetzt ist. Smart App Control<\/a> soll einen besseren Schutz vor neuen und aufkommenden Bedrohungen in Windows 11 bieten, indem es b\u00f6sartige oder nicht vertrauensw\u00fcrdige Apps blockiert. Smart App Control hilft auch dabei, potenziell unerw\u00fcnschte Apps zu blockieren. Hierbei handelt es sich um Apps, die dazu f\u00fchren k\u00f6nnen, dass Ihr Ger\u00e4t langsam l\u00e4uft, unerwartete Werbung angezeigt wird, zus\u00e4tzliche Software angeboten wird, die vom Nutzer nicht erw\u00fcnscht ist. Auch Microsoft Office blockiert Makros in Dokumenten mit MOTW (Quelle<\/a>).<\/p>\n

Bug verhindert MOTW-Flag<\/h2>\n

Angreifer versuchen daher zu vermeiden, dass ihre b\u00f6sartigen Dateien mit MOTW markiert werden. Ein Bug in Windows erm\u00f6glicht es Angreifern, ein ZIP-Archiv so zu erstellen, dass extrahierte b\u00f6sartige Dateien nicht mit MOTW markiert werden. Der Sicherheitsforscher Will Dormann ist im Mai 2022 auf eine Schwachstelle in Windows gesto\u00dfen<\/a>.<\/p>\n

\"ZIP<\/a><\/p>\n

Diese Schwachstelle erm\u00f6glicht es einem Angreifer, Windows daran zu hindern, die Markierung \"Mark of the Web\" f\u00fcr Dateien zu setzen, die aus einem ZIP-Archiv extrahiert wurden. Das gilt selbst f\u00fcr den Fall, dass die ZIP-Archiv aus einer nicht vertrauensw\u00fcrdigen Quelle wie dem Internet, einer E-Mail oder von einem USB-Stick stammt. Damit werden Microsofts sch\u00f6ne Sicherheitsl\u00f6sungen unwirksam.<\/p>\n

Will hat Microsoft im Juli \u00fcber dieses Problem informiert, aber eine offizielle L\u00f6sung wurde noch nicht bereitgestellt. In der Zwischenzeit wird die Sicherheitsl\u00fccke offenbar in freier Wildbahn ausgenutzt<\/a>. Bisher gibt es aber keinen Patch und nicht mal eine CVE-Kennung daf\u00fcr.<\/p>\n

Die 0Patch-L\u00f6sung<\/h2>\n

ACROS Security hat die Schwachstelle analysiert und Micropatches f\u00fcr diese Schwachstelle ver\u00f6ffentlicht. Diese stehen kostenlos \u00fcber den 0patch-Agenten zur Verf\u00fcgung, bis\u00a0 Microsoft den offiziellen Fix ver\u00f6ffentlicht hat. Details zur Wirkungsweise lassen sich in diesem Blog-Post<\/a> und dem dort eingebundenen Video herausfinden.<\/p>\n

Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher l\u00e4dt, finden Sie in den Blog-Posts (wie z.B. hier<\/a>).<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>0patch: Fix f\u00fcr Internet Explorer 0-day-Schwachstelle CVE-2020-0674<\/a>
\n0patch-Fix f\u00fcr Windows Installer-Schwachstelle CVE-2020-0683<\/a>
\n0patch-Fix f\u00fcr Windows GDI+-Schwachstelle CVE-2020-0881<\/a>
\n0-Day-Schwachstelle in Windows Adobe Type Library<\/a>
\n0patch fixt 0-day Adobe Type Library bug in Windows 7<\/a>
\n0patch fixt CVE-2020-0687 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1048 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1015 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1281 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1337 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1530 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1013 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec<\/a>
\n0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle<\/a>
\n0patch fixt 0-day im Internet Explorer<\/a>
\n0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2<\/a>
\n0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)<\/a>
\n0Patch bietet Support f\u00fcr Windows 10 Version 1809 nach EOL<\/a>
\nWindows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959<\/a>
\n0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
\n0patch-Fix f\u00fcr neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)<\/a>
\n0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)<\/a>
\n2. 0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)<\/a>
\nWindows 10: 0patch-Fix f\u00fcr MSHTML-Schwachstelle (CVE-2021-40444)<\/a>
\n0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service<\/a>
\n0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service<\/a>
\n0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows<\/a>
\n0patch fixt ms-officecmd RCE-Schwachstelle in Windows<\/a>
\n0patch fixt RemotePotato0-Schwachstelle in Windows<\/a>
\n0patch fixt erneut Schwachstelle CVE-2021-34484 in Windows 10\/Server 2019<\/a>
\n0Patch fixt Schwachstellen (CVE-2022-26809 und CVE-2022-22019) in Windows<\/a>
\nWindows MSDT 0-day-Schwachstelle \"DogWalk\" erh\u00e4lt 0patch-Fix<\/a>
\n0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows<\/a>
\n0patch fixt Memory Corruption-Schwachstelle (CVE-2022-35742) in Microsoft Outlook 2010<\/a>
\nWindows 7\/Server 2008 R2: Erhalten auch 2023 und 2024 0patch Micropatches<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Seit Mai 2022 ist ein Bug in Windows bekannt, der verhindert, dass das \"Mark of the Web\"-Flag bei aus ZIP-Archiven entpackten Dateien gesetzt wird. Microsoft selbst hat bisher keinen Patch f\u00fcr diese 0-day Schwachstelle freigegeben. Die Schwachstelle wird bereits ausgenutzt. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,301],"tags":[4322,4328,3288],"class_list":["post-274054","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-windows","tag-office","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274054","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=274054"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274054\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=274054"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=274054"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=274054"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}