Tijdens de laatste patchdinsdag van 2022 heeft Microsoft één zerodaylek in Windows verholpen dat werd gebruikt voor het omzeilen van de Smartscreen-beveiliging. Eind oktober meldde beveiligingsonderzoeker Will Dormann dat de Smartscreen-beveiligingsmaatregel van Windows, die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet, door middel van een ongeldige handtekening is te omzeilen. Aanvallers maken al enige tijd actief misbruik van het probleem om systemen met ransomware te infecteren.

Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Onlangs lieten onderzoekers van HP Wolf Security weten dat eindgebruikers via nep-updates met de Magniber-ransomware werden geïnfecteerd.

De zogenaamde software-update wordt vanaf malafide websites aangeboden. Het gaat om een zip-bestand waarin een JavaScript-bestand zit. Normaliter zouden gebruikers een waarschuwing te zien moeten krijgen dat ze een bestand openen dat van het internet afkomstig is. De waarschuwing verschijnt echter niet, wat komt doordat er een digitale handtekening aan het bestand is toegevoegd. Het is mogelijk om bestanden digitaal te signeren. Daardoor weten gebruikers van wie het bestand afkomstig is en dat de code sinds de publicatie niet is aangepast.

Dormann deed verder onderzoek naar het malafide bestand en zag dat er een ongeldige handtekening was gebruikt die ervoor zorgt dat Windows de MOTW-waarschuwing niet toont. Om de kwetsbaarheid (CVE-2022-44698) te verhelpen is gisteren een beveiligingsupdate verschenen, die op de meeste systemen automatisch zal worden geïnstalleerd.