Når man i Windows laster ned en fil til PC-en fra for eksempel internett eller en minnepinne, utstyres filen med et flagg som forteller Windows at filen ikke nødvendigvis er til å stole på fordi den kommer fra en potensielt upålitelig kilde.
Dette flagget kalles for Mark of the Web (MotW), som kan varsle brukeren om at filen er potensielt skadelig, og blokkere kjøringen av eventuelt kjørbart innhold i filen, for eksempel makroer i en Office-fil.
Zip-filer
I mai oppdaget sikkerhetsforskeren Will Dormann at MotW-funksjonaliteten kan enkelt omgås med filer som er lagret i et zip-arkiv. Selve zip-filen blir merket med MotW, men innholdet gjør det ikke. Dermed tolker Windows dette som pålitelige filer. Dormann offentliggjorde detaljene om dette i juli i år.
– […] en angriper kan levere Word- eller Excel-filer i en nedlastet zip-fil, og disse vil ikke få makroene sine blokkert på grunn av fraværet av MotW-en, skriver Mitja Kolsek i et blogginnlegg.
Han er medlem av 0Patch-teamet som nå har kommet med en uoffisiell, gratis mikropatch til blant annet Windows 10 og 11, samt Windows Server 2008 og nyere. Micropatchen sørger for at også innholdet i nedlastede zip-filer blir behandlet som om de har MotW-flagget, noe som vises i videoen nedenfor.
Årsaken til utgivelsen av mikropatchen er at Microsoft ennå ikke har kommet med noen offisiell sikkerhetsfiks som fjerner sårbarheten. Dette til tross for at selskapet ble varslet om sårbarheten i juli i år. Ifølge Bleeping Computer, som også har omtalt mikropatchen, har det kommet rapporter om at sårbarheten har blitt utnyttet i aktive angrep.
Advarer: Kritisk sårbarhet utnyttet av statsstøttede aktører
