據(jù)BleepingComputer12月14日消息，微軟在最近的一次“星期二更新”中修復(fù)了一個(gè)備受關(guān)注的、編號(hào)為CVE-2022-44698的零日漏洞，攻擊者可用來規(guī)避 Windows SmartScreen 安全功能并提供 Magniber 勒索軟件和 Qbot 惡意軟件的有效負(fù)載。

攻擊者使用惡意的獨(dú)立 JavaScript 文件來利用零日漏洞繞過 Windows 顯示的 Mark-of-the-Web 安全警告，該警告可以提醒用戶應(yīng)謹(jǐn)慎對(duì)待來自 Internet 的文件。

根據(jù)微軟的說法，攻擊者可以制作一個(gè)惡意文件來逃避 Web 標(biāo)記 (MOTW) 防御，從而導(dǎo)致安全功能（例如 Microsoft Office 中的受保護(hù)視圖）的完整性和可用性受損，這些功能都依賴于 MOTW 標(biāo)記。微軟還列出了該漏洞被利用的三種具體方式：

• 在基于 Web 的攻擊情形中，攻擊者可能利用惡意網(wǎng)站進(jìn)行安全繞過。
• 在電子郵件或即時(shí)消息攻擊場(chǎng)景中，攻擊者可以向目標(biāo)用戶發(fā)送一個(gè)特制的 .url 文件，該文件旨在利用繞過漏洞。
• 受感染的網(wǎng)站或一些接受用戶托管的網(wǎng)站可能包含特制內(nèi)容以利用安全功能繞過。

但無論如何，攻擊者都必須誘使目標(biāo)打開惡意文件或訪問具有 CVE-2022-44698 漏洞的網(wǎng)站。

據(jù)悉，HP 的威脅情報(bào)團(tuán)隊(duì)在 今年10 月首次發(fā)現(xiàn)并報(bào)告了該漏洞，他們發(fā)現(xiàn)網(wǎng)絡(luò)釣魚攻擊正在使用獨(dú)立的.JS JavaScript文件分發(fā)Magniber勒索軟件，ANALYGENCE 的高級(jí)漏洞分析師 Will Dormann發(fā)現(xiàn)該文件的數(shù)字簽名能夠?qū)е?SmartCheck 出錯(cuò)，在沒有任何安全警告的情況下允許惡意文件執(zhí)行并安裝 Magniber 勒索軟件，即使該文件已擁有MOTW標(biāo)記。

上個(gè)月，攻擊者同樣利用該零日漏洞，在網(wǎng)絡(luò)釣魚攻擊中投放 Qbot 惡意軟件。

參考來源：https://www.bleepingcomputer.com/news/security/microsoft-patches-windows-zero-day-used-to-drop-ransomware/