{"id":274484,"date":"2022-10-29T05:03:52","date_gmt":"2022-10-29T03:03:52","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=274484"},"modified":"2022-10-29T05:17:34","modified_gmt":"2022-10-29T03:17:34","slug":"windows-0patch-micropatche-fr-motw-bypassing-0-day-kein-cve","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/29\/windows-0patch-micropatche-fr-motw-bypassing-0-day-kein-cve\/","title":{"rendered":"Windows: 0Patch Micropatch für MotW-Bypassing 0-day (kein CVE)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Seit wenigen Tagen ist ein neuer Bug in Windows bekannt, der verhindert, dass das \"Mark of the Web\"-Flag bei kaputten Signaturen ausgewertet wird. Microsoft selbst hat bisher keinen Patch f\u00fcr diese 0-day Schwachstelle freigegeben. Die Schwachstelle wird bereits ausgenutzt. Daher hat sich ACROS Security dem Problem gewidmet und einen 0Patch Micropatch zum Schlie\u00dfen entwickelt. Der Patch ist frei verf\u00fcgbar, ben\u00f6tigt wird lediglich der 0patch-Agent.<\/p>\n

\"\"Ich habe vor 2 Tagen im Blog-Beitrag Windows (Mark of the Web) 0-day per JavaScript f\u00fcr Ransomware-Angriffe genutzt<\/a> \u00fcber den Sachverhalt berichtet. Von Microsoft gibt es bisher keinen Patch f\u00fcr diese Schwachstelle. Mitja Kolsek, der Gr\u00fcnder von ACROS Security hat mich vor einigen Stunden in einer pers\u00f6nlichen Mitteilung \u00fcber diesen Micropatch informiert, das Ganze aber auch in nachfolgendem Tweet<\/a> sowie die Details in diesem Blog-Beitrag<\/a> \u00f6ffentlich gemacht.<\/p>\n

\"Windows<\/a><\/p>\n

Worum geht es bei MOTW?<\/h2>\n

Windows kann eine eine Sicherheitswarnung anzeigen, bevor eine ausf\u00fchrbare Datei, die aus dem Internet heruntergeladen wurde, ge\u00f6ffnet und gestartet wird. Diese Warnung, z.B. durch \"Smart App Control<\/a>\" funktioniert nur bei Dateien, bei denen das Mark of the Web (MOTW) Flag gesetzt ist. Smart App Control<\/a> soll einen besseren Schutz vor neuen und aufkommenden Bedrohungen in Windows 11 bieten, indem es b\u00f6sartige oder nicht vertrauensw\u00fcrdige Apps blockiert. Smart App Control hilft auch dabei, potenziell unerw\u00fcnschte Apps zu blockieren. Auch Microsoft Office blockiert Makros in Dokumenten mit MOTW (Quelle<\/a>).<\/p>\n

Allerdings gibt es einen Bug in Windows, der verhindert, dass dieses MotW-Flag \u00fcberhaupt ausgewertet wird. Getriggert wird dies durch eine kaputte digitale Signatur in der zu pr\u00fcfenden Datei. Ich hatte im Blog-Beitrag Windows (Mark of the Web) 0-day per JavaScript f\u00fcr Ransomware-Angriffe genutzt<\/a> darauf hingewiesen. Microsoft selbst hat bisher keinen Patch f\u00fcr diese 0-day Schwachstelle freigegeben. Die Schwachstelle wird bereits ausgenutzt. Das ist jetzt die zweite ungepatchte Schwachstelle in diesem Bereich (siehe Windows: 0Patch Micropatch f\u00fcr MOTOW-ZIP-File-Bug (0-day, kein CVE)<\/a>).<\/p>\n

Die 0Patch-L\u00f6sung<\/h2>\n

ACROS Security hat die Schwachstelle analysiert und Micropatches f\u00fcr diese Schwachstelle ver\u00f6ffentlicht. Diese stehen kostenlos \u00fcber den 0patch-Agenten zur Verf\u00fcgung, bis\u00a0 Microsoft den offiziellen Fix ver\u00f6ffentlicht hat. Details zur Wirkungsweise lassen sich in diesem Blog-Post<\/a> nachlesen. Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher l\u00e4dt, finden Sie in den Blog-Posts (wie z.B. hier<\/a>).<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>0patch: Fix f\u00fcr Internet Explorer 0-day-Schwachstelle CVE-2020-0674<\/a>
\n0patch-Fix f\u00fcr Windows Installer-Schwachstelle CVE-2020-0683<\/a>
\n0patch-Fix f\u00fcr Windows GDI+-Schwachstelle CVE-2020-0881<\/a>
\n0-Day-Schwachstelle in Windows Adobe Type Library<\/a>
\n0patch fixt 0-day Adobe Type Library bug in Windows 7<\/a>
\n0patch fixt CVE-2020-0687 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1048 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1015 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1281 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1337 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1530 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1013 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec<\/a>
\n0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle<\/a>
\n0patch fixt 0-day im Internet Explorer<\/a>
\n0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2<\/a>
\n0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)<\/a>
\n0Patch bietet Support f\u00fcr Windows 10 Version 1809 nach EOL<\/a>
\nWindows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959<\/a>
\n0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
\n0patch-Fix f\u00fcr neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)<\/a>
\n0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)<\/a>
\n2. 0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)<\/a>
\nWindows 10: 0patch-Fix f\u00fcr MSHTML-Schwachstelle (CVE-2021-40444)<\/a>
\n0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service<\/a>
\n0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service<\/a>
\n0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows<\/a>
\n0patch fixt ms-officecmd RCE-Schwachstelle in Windows<\/a>
\n0patch fixt RemotePotato0-Schwachstelle in Windows<\/a>
\n0patch fixt erneut Schwachstelle CVE-2021-34484 in Windows 10\/Server 2019<\/a>
\n0Patch fixt Schwachstellen (CVE-2022-26809 und CVE-2022-22019) in Windows<\/a>
\nWindows MSDT 0-day-Schwachstelle \"DogWalk\" erh\u00e4lt 0patch-Fix<\/a>
\n0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows<\/a>
\n0patch fixt Memory Corruption-Schwachstelle (CVE-2022-35742) in Microsoft Outlook 2010<\/a>
\nWindows 7\/Server 2008 R2: Erhalten auch 2023 und 2024 0patch Micropatches<\/a>
\nWindows: 0Patch Micropatch f\u00fcr MOTOW-ZIP-File-Bug (0-day, kein CVE)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Seit wenigen Tagen ist ein neuer Bug in Windows bekannt, der verhindert, dass das \"Mark of the Web\"-Flag bei kaputten Signaturen ausgewertet wird. Microsoft selbst hat bisher keinen Patch f\u00fcr diese 0-day Schwachstelle freigegeben. Die Schwachstelle wird bereits ausgenutzt. Daher … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[7875,4328,3288],"class_list":["post-274484","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-0patch","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274484","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=274484"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274484\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=274484"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=274484"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=274484"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}