Au sein de son Patch Tuesday de Novembre 2022, Microsoft a corrigé un bug dans la gestion du marqueur Mark of the Web au sein des images ISO, ce qui devrait permettre de bloquer certaines attaques qui s'appuyaient jusqu'ici sur des images ISO malveillantes.

Avant de parler de ce problème de sécurité, parlons du marqueur "Mark of the Web" (MoTW) en lui-même. Lorsqu'un fichier provient d'Internet, Windows l'identifie grâce à ce fameux marqueur, ce qui permet ensuite d'adopter un comportement adéquat. Par exemple, s'il s'agit d'un fichier Word provenant d'Internet, alors on l'ouvre en mode protégé. Pour cela, le fichier dispose d'un attribut nommé "Zone.Identifier" qui permet d'attribuer un fichier à une zone : ordinateur local, sites de confiances, Internet, etc... Un marqueur très important et pris en charge par Windows, ainsi que par certains logiciels (Microsoft Office, 7-Zip, etc.).

CVE-2022-41091 : un problème de sécurité lié aux images ISO

Depuis Windows 8, il est possible de monter une image ISO d'un simple "double clic". Cela a pour effet de créer un lecteur virtuel sur le système, et ce lecteur donne accès au contenu de l'image ISO.

Bill Demirkapi, ingénieur au sein de l'équipe Microsoft MSRC, affirme qu'une vulnérabilité a été corrigée dans la gestion du marqueur MoTW au sein des images ISO. En effet, le marqueur n'était pas propagé aux fichiers contenus dans une image ISO. De ce fait, une image ISO en provenance d'Internet était identifiée sauf que ce n'était pas le cas des fichiers à l'intérieur de cette image. Enfin, tout dépend du type de fichiers, car cela fonctionnait pour les documents Microsoft Office, mais pas pour les liens ".LNK" ce qui permet de pointer vers n'importe quel élément. Une aubaine pour les cybercriminels qui ont pu utiliser cette faiblesse pour diffuser des logiciels malveillants via des campagnes de phishing.

Si un utilisateur monte une image ISO et qu'il ouvrir un fichier "LNK" malveillant, il sera exécuté automatiquement par Windows sans afficher le moindre avertissement. Normalement, une fenêtre de confirmation apparaît lorsque le fichier provient d'Internet, mais là ce n'est pas le cas. Grâce à la mise à jour de novembre 2022, la vulnérabilité CVE-2022-41091 est corrigée.

CVE-2022-41049 : contournement de MoTW avec des archives ZIP

En complément de cette faille de sécurité, Microsoft a corrigé la vulnérabilité CVE-2022-41049, associée aussi à la fonction Mark of the Web. Will Dormann, à l'origine de cette découverte a évoqué deux manières d'exploiter cette faille de sécurité.

La première méthode permet de faire planter Windows SmartScreen sous Windows 11 22H2 et de bypasser les avertissements de sécurité lors de l'ouverture de fichiers contenus au sein d'archives ZIP.

Baptisée "ZippyReads", la seconde méthode consiste à créer une archive ZIP contenant un fichier en lecture seule. Lorsque cette archive est ouverte dans l'Explorateur Windows, l'indicateur MoTW n'est pas propagé à ce fichier en lecture seule, ce qui permet de l'exécuter sans être confronté à l'avertissement de sécurité.

À ce jour, il y aurait une autre vulnérabilité dans MoTW découverte par Will Dormann et qui ne serait pas corrigée. En effet, lorsqu'un script JavaScript est utilisé et qu'il contient une signature malformée, il peut être exécuté sur la machine sans qu'il y ait le moindre avertissement.

Le danger vient et continuera de venir par Internet et par les fichiers malveillants, alors soyez méfiants. Pour rappel, mon article complet au sujet du Patch Tuesday est disponible à l'adresse ci-dessous. Ce mois-ci, Microsoft a corrigé 68 vulnérabilités et 6 failles zero-day, notamment celles dans Microsoft Exchange Server.

• Microsoft - Patch Tuesday - Novembre 2022

Source

L'article Windows et MoTW : Microsoft a corrigé une vulnérabilité exploitée pour distribuer des malwares est disponible sur IT-Connect : IT-Connect.