{"id":276627,"date":"2023-01-09T08:01:32","date_gmt":"2023-01-09T07:01:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276627"},"modified":"2023-01-09T08:25:53","modified_gmt":"2023-01-09T07:25:53","slug":"windows-und-das-mark-of-the-web-motw-sicherheitsproblem","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/09\/windows-und-das-mark-of-the-web-motw-sicherheitsproblem\/","title":{"rendered":"Windows und das "Mark of the Web" (MotW) Sicherheitsproblem"},"content":{"rendered":"

\"Windows\"[English<\/a>]Es war eine Meldung die Tage, dass die BlueNoroff APT-Hacker neue Techniken verwenden, um die \"Mark of the Web\"-Schutzma\u00dfnahmen von Windows zu umgehen, die mich bewogen haben, das Thema nochmals im Blog hochzuholen. Denn MotW, wie es kurz genannt wird, kam die letzten Monate h\u00e4ufiger vor – erst, weil Microsoft eine MotW-Schwachstelle nicht schlie\u00dfen wollte. Und dann doch noch einen Patch f\u00fcr eine Schwachstelle ver\u00f6ffentlicht hat.<\/p>\n

<\/p>\n

Hintergrund: Mark of the Web<\/h2>\n

\"\"Dateien aus dem Internet oder \u00e4hnliche Quellen k\u00f6nnten Schadsoftware enthalten. Daher hat sich Microsoft vor Jahren einen Sicherheitsmechanismus \u00fcberlegt, bei dem diese Dateien mit einem Mark of the Web (MOTW) Flag gekennzeichnet werden. Windows kann eine Sicherheitswarnung anzeigen, bevor eine ausf\u00fchrbare Datei mit einem gesetzten MotW-Flag ge\u00f6ffnet und gestartet wird.<\/p>\n

Die Schutzfunktion Smart App Control<\/a> wertet beispielsweise dieses Flag aus und soll in Windows 11 einen besseren Schutz vor neuen und aufkommenden Bedrohungen bieten, indem b\u00f6sartige oder nicht vertrauensw\u00fcrdige Apps blockiert werden. Smart App Control soll auch dabei helfen, potenziell unerw\u00fcnschte Apps zu blockieren. Hierbei handelt es sich um Apps, die dazu f\u00fchren k\u00f6nnen, dass Ihr Ger\u00e4t langsam l\u00e4uft, unerwartete Werbung angezeigt wird, zus\u00e4tzliche Software angeboten wird, die vom Nutzer nicht erw\u00fcnscht ist. Auch Microsoft Office blockiert Makros in Dokumenten mit MOTW (Quelle<\/a>).<\/p>\n

Ein Bug in Windows<\/h2>\n

Ich hatte es im Blog-Beitrag Windows (Mark of the Web) 0-day per JavaScript f\u00fcr Ransomware-Angriffe genutzt<\/a> bereits adressiert. B\u00f6swillige Angreifer versuchen den MotW-Sicherheitsmechanismus zu umgehen, indem sie Wege suchen, um b\u00f6sartige Dateien aus dem Internet ohne das gesetzte Flag auf die Systeme der Opfer zu schmuggeln.<\/p>\n

\"ZIP<\/a><\/p>\n

Sicherheitsforscher Will Dormann ist im Mai 2022 auf diese Schwachstelle in Windows gesto\u00dfen<\/a>, die es einem Angreifer erm\u00f6glicht, Windows daran zu hindern, die Markierung \"Mark of the Web\" f\u00fcr Dateien zu setzen, die aus einem ZIP-Archiv extrahiert wurden. Das gilt selbst f\u00fcr den Fall, dass die ZIP-Archiv aus einer nicht vertrauensw\u00fcrdigen Quelle wie dem Internet, einer E-Mail oder von einem USB-Stick stammt. Damit werden Microsofts sch\u00f6ne Sicherheitsl\u00f6sungen unwirksam.<\/p>\n

Microsoft reagierte (erst) nicht …<\/h2>\n

Will Dormann hatte Microsoft im Juli 2022 \u00fcber dieses Problem informiert, aber eine offizielle L\u00f6sung wurde noch nicht bereitgestellt. Es gab weder einen Patch, geschweige denn, eine CVE-Kennung f\u00fcr die Schwachstelle, die nicht unbemerkt blieb. Denn diese Sicherheitsl\u00fccke wurde offenbar seit einigen Monaten in freier Wildbahn ausgenutzt (siehe auch Windows (Mark of the Web) 0-day per JavaScript f\u00fcr Ransomware-Angriffe genutzt<\/a>).<\/p>\n

Daher hat sich ACROS Security dem Problem gewidmet und einen 0Patch Micropatch zum Schlie\u00dfen entwickelt. Der Patch ist seit Oktober 2022 frei verf\u00fcgbar, ben\u00f6tigt wird lediglich der 0patch-Agent. Ich hatte im Blog-Beitrag Windows: 0Patch Micropatch f\u00fcr MOTOW-ZIP-File-Bug (0-day, kein CVE)<\/a> \u00fcber diesen kostenlosen Micropatch berichtet, der die Ausnutzbarkeit der Schwachstelle blockiert.<\/p>\n

Erst zum November 2022 Patchday wird ein Fix f\u00fcr Mark of the Web (MotW) in der \u00dcbersicht von Microsoft erw\u00e4hnt (siehe Microsoft Security Update Summary (8. November 2022)<\/a>), ohne Details zu verraten. Will Dormann hatte in diesem Tweet<\/a> dann einige Hinweise zur MotW-Schwachstelle CVE-2022-41091 gegeben.<\/p>\n

\"Dormann<\/a><\/p>\n

Im Dezember gab es dann zum Patchday noch einen Nachschlag (siehe Microsoft Security Update Summary (13. Dezember 2022)<\/a>). Microsoft best\u00e4tigte einen Fix f\u00fcr eine weitere MoTW-Schwachstelle CVE-2022-44698<\/a>\u00a0<\/u>Windows SmartScreen security feature bypass vulnerability (MoTW)<\/em>, stufte diese aber als moderat ein.<\/p>\n

BlueNoroff APT-Hacker nutzen MotW<\/h2>\n

Ende Dezember 2022 gab es dann eine Warnung, dass die APT-Gruppe BlueNoroff die Mark of the Web (MotW)-Schwachstelle nutzen, um Angriffe auf Opfer zu fahren. Die BlueNoroff APT-Hacker verwenden neue Techniken, um die Mark of the Web-Schutzma\u00dfnahmen von Windows zu umgehen.<\/p>\n

\"BlueNoroff<\/a><\/p>\n

BlueNoroff APT ist eine Untergruppe der Lazarus-Gruppe (mutma\u00dflich Nordkorea). Die Angreifer verwenden eine neuartige Infektionskette, bei der auch Dateiformate f\u00fcr optische Datentr\u00e4gerabbilder (.ISO-Erweiterung) und virtuelle Festplatten (.VHD-Erweiterung) zum Einsatz kommen. Alles mit dem Ziel, das MotW-Flag und die Erkennung durch Microsofts Sicherheitsl\u00f6sungen zu umgehen. Kaspersky hat das Ganze aufgedeckt<\/a>, The Hacker News hat das Ganze in diesem Blog-Beitrag<\/a> aufbereitet.<\/p>\n

Aus beiden Beitr\u00e4gen geht nicht hervor, ob diese Infektionsvektoren durch die von Microsoft freigegebenen Sicherheitsupdates f\u00fcr Windows (oder durch die 0patch-L\u00f6sung) verhindert werden. Der obige Abriss zeigt aber, wie langsam Microsoft oft auf gemeldete Schwachstellen reagiert und dann von Angreifern vorgef\u00fchrt wird.<\/p>\n

Das ging mir beim Schreiben des Beitrags jetzt spontan durch den Kopf, da momentan ja wieder (vom Microsoft Marketing) \"Voodoo geblasen wird\" weil Windows 7 SP1, Windows 8.1 und Windows Server 2008 R2 zum 10. Januar 2023 letztmalig Sicherheitsupdates erhalten. Am 11. Januar 2023 bricht dann die IT-Sicherheit des Abendlands zusammen – weil nur Windows 10 \/11 die \"guten\" Sicherheitsl\u00fccken enthalten, die dann hoffentlich irgendwann gepatcht werden.<\/p>\n

Es wird in Zukunft darauf ankommen, wie Administratoren ihre Systeme so absichern, dass verschiedene Angriffsvektoren erst gar nicht auftreten k\u00f6nnen. Neben zeitnahen Updates (die wegen zahlreicher Bugs zum Lotteriespiel werden) geh\u00f6ren auch weitere Ma\u00dfnahmen wie die Begrenzung der ausf\u00fchrbaren Anwendungen, die \u00dcberwachung der Systeme mittels EDR und SIEM L\u00f6sungen etc. dazu. Das Verlassen auf \"Microsoft wird schon patchen\" funktionierte ja bereits in der Vergangenheit mehr schlecht als recht.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows: 0Patch Micropatch f\u00fcr MotW-Bypassing 0-day (kein CVE)<\/a>
\nMicrosoft Security Update Summary (8. November 2022)<\/a>
\nMicrosoft Security Update Summary (13. Dezember 2022)<\/a>
\nWindows (Mark of the Web) 0-day per JavaScript f\u00fcr Ransomware-Angriffe genutzt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es war eine Meldung die Tage, dass die BlueNoroff APT-Hacker neue Techniken verwenden, um die \"Mark of the Web\"-Schutzma\u00dfnahmen von Windows zu umgehen, die mich bewogen haben, das Thema nochmals im Blog hochzuholen. Denn MotW, wie es kurz genannt wird, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-276627","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276627","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276627"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276627\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276627"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276627"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276627"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}