The Hacker Newsは10月31日(米国時間)、「Unofficial Patch Released for New Actively Exploited Windows MotW Vulnerability」において、Windowsのセキュリティ機能である「Mark of the Web (MOTW)」を回避する脆弱性に対する非公式のマイクロパッチが提供されたと伝えた。
この修正パッチは、ACROS Securityが提供しているパッチ・サービス「0patch」リリースされており、同じ脆弱性が悪用されているファイル暗号化マルウェアを拡散させるランサムウェアキャンペーン「Magniber」の発見から、数週間後に公開されたという。
Windowsではインターネットからダウンロードされたファイルによる不正な動作を防ぐため、MOTWフラグがダウンロードファイルに付与される仕組みになっている。通常、MOTWフラグがつけられたファイルを開こうとすると、実行される前に警告が表示されるようになっている。しかしながら、破損したAuthenticode署名が使われた場合、警告なしにファイルが実行できることが判明している。Authenticodeは特定のソフトウェアの発行者の身元を認証し、公開後に改ざんされていないかを検証するMicrosoftのコード署名技術とされている。
この脆弱性の調査を行ったHP Wolf Securityのセキュリティ研究者によると、ファイルはMOTWフラグを持っているが、開いたときに警告が表示されずに実行されると報告している。また、セキュリティ専門家のWill Dormann氏は、ファイルがこの不正なAuthenticode署名を持っている場合、SmartScreenやファイルを開く際の警告ダイアログはスキップされると説明している。
0patchのMitja Kolsek氏は、このセキュリティ上の欠陥はSmartScreenが不正な署名を解析する際に例外を返し、警告をトリガーするのではなくプログラムを実行するという誤った解釈の結果であると伝えている。
