АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Mark of the Web

Экспертиза РАН

Logo-ran.pngLogo-ran-black.png
Проводится экспертиза
Российской академией наук
Подробнее
Times2.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проводится экспертиза
Российской академией наук
Подробнее

Mark of the Web (англ. MoTW, «Метка Интернета») — это идентификатор метаданных, используемый в Microsoft Windows для пометки файлов, загруженных из Интернета, как потенциально небезопасных[1][2]. Несмотря на то, что название отсылает к Интернету, такая метка может быть добавлена и к файлам из других источников, считающихся рискованными, в том числе к файлам, скопированным с накопителей на базе NTFS, если те были ранее загружены из сети.

Внедрение метки основано на механизме альтернативных потоков данных (Alternate Data Stream, ADS), поддерживаемом файловой системой NTFS, применяемой в Windows[3]. Поскольку этот механизм специфичен для NTFS, при копировании файла на раздел с другой файловой системой (например, FAT32 или Ext3) все альтернативные потоки (и, соответственно, сама метка) будут утрачены. Такие потоки изначально предназначены для сокрытия от пользователя и не отображаются стандартными графическими средствами Windows и не могут быть отредактированы через них.

Второй тип метки Mark of the Web возникает при сохранении веб-страницы в формате HTML, когда большинство браузеров вставляют в начало документа HTML-комментарий с указанием исходного URL[4]. Эта форма метки сильно отличается от ADS и явно видна и доступна пользователю для редактирования, поскольку содержится непосредственно в самом файле.

Метка применяется всеми версиями Internet Explorer, поддерживаемыми Windows 7 и новее. Все браузеры на базе Chromium (например, Google Chrome) и Firefox также добавляют поток с меткой к загружаемым файлам. В дополнение они дописывают метку второго типа — исходный URL страницы внутри HTML-комментария в начале файла. Метки, создаваемые браузерами на базе Chromium и Firefox, содержат доменное имя и полный URL исходного ресурса, что может использоваться для косвенного отслеживания истории посещений и нести риски для конфиденциальности пользователя[5].

Эффекты

Windows предупреждает пользователя при попытке открыть файл с меткой Mark of the Web, что данный файл был загружен из Интернета и может быть опасен; далее пользователь может согласиться с запуском либо отказаться[1]. Если файл является исполняемым, и пользователь подтверждает запуск, метка удаляется во избежание повторных предупреждений. Без подтверждения пользователя метка блокирует выполнение макросов во всех файлах Microsoft Office[6][7]. Проекты Visual Studio, созданные с файлами, содержащими метку, не могут быть собраны или выполнены[8].

Некоторые программы-архиваторы переносят Mark of the Web с самого архива на все извлекаемые из него файлы, что предотвращает попытки вредоносного кода обойти защиту с помощью архивирования[9][10].

Если загружаемый файл является исполняемым (например, инсталлятором), то поток метки может использоваться для рефлексии — программа может определить источник загрузки файла, что иногда применяется для телеметрии или проверки безопасности. Например, инсталлятор BiglyBT использует эту возможность для проверки происхождения файла при установке.

Реализация

Альтернативный поток данных (ADS) — разновидность форков файловых систем, позволяющая ассоциировать с файлом несколько потоков данных в формате имя_файла:имя_потока.

В случае метки она хранится в потоке с именем Zone.Identifier. Начиная с Windows 10, в содержимом этого потока используются параметры в формате файла INI (простого хранилища ключ-значение) с такими полями, как HostIpAddress, HostUrl и ReferrerUrl[11]. Хотя эти поля могут различаться в зависимости от реализации, они обычно содержат адрес и полный URL источника онлайн-загрузки.

Проблемы безопасности

В Национальной базе уязвимостей США (National Vulnerability Database) были зарегистрированы четыре проблемы безопасности, связанные с Mark of the Web, все они впоследствии были устранены:

  • CVE-2022-41091 (8 ноября 2022) — злоумышленники могли сделать так, чтобы файлы, загруженные из Интернета, не помечались меткой[12][13]
  • CVE-2022-44698 (13 декабря 2022)[14] и CVE-2023-36584 (10 октября 2023)[15] — злоумышленники могли обойти ограничения механизма, не удаляя саму метку
  • CVE-2024-38217 (сентябрь 2024) — злоумышленники могли удалять метку[16][17]

Злоумышленник может также использовать методы социальной инженерии, убеждая пользователя самостоятельно разблокировать файл через контекстное меню свойств файла в Windows[18].

Аналоги на других платформах

В macOS версии 10.5 была реализована аналогичная функция — атрибут карантина, который применяется к файлам, загруженным из интернета.

Примечания

  1. 1 2 Lawrence, Eric Downloads and the Mark-of-the-Web (англ.). text/plain (4 апреля 2016). Дата обращения: 9 января 2024.
  2. Abrams, Lawrence. Microsoft устранила уязвимость нулевого дня Windows, использовавшуюся для распространения вредоносных программ, BleepingComputer (10 ноября 2022). Дата обращения: 9 января 2024.
  3. Russinovich, Mark E. File Systems // Windows Internals / Mark E. Russinovich, David A. Solomon, Alex Ionescu. — 5th. — Microsoft Press, 2009. — P. 921. — «One component in Windows that uses multiple data streams is the Attachment Execution Service [...] depending on which zone the file was downloaded from [...] Windows Explorer might warn the user.». — ISBN 978-0-7356-2530-3.
  4. kexugit Understanding Local Machine Zone Lockdown (англ.). Microsoft Learn (23 марта 2011). Дата обращения: 9 января 2024.
  5. Wilson, Craig Forensic Analysis of the Zone.Identifier Stream. Digital Detective (8 октября 2021). Дата обращения: 9 января 2024.
  6. Macro Security for Microsoft Office. National Cyber Security Center (NCSC) (11 октября 2023). Дата обращения: 9 января 2024.
  7. nicholasswhite Macros from the internet are blocked by default in Office — Deploy Office (англ.). Microsoft Learn (14 декабря 2023). Дата обращения: 9 января 2024.
  8. Nagel, Eric Remove the Mark of the Web: Visual Studio 2019 Build Error (англ.). Eric Nagel (26 августа 2019). Дата обращения: 9 января 2024.
  9. Wixey, Matt Are threat actors turning to archives and disk images as macro usage dwindles? Sophos News (12 октября 2022). Дата обращения: 28 февраля 2024.
  10. Boyd, Christopher. 7-Zip получает поддержку Mark of the Web, повышая безопасность пользователей, Malwarebytes (21 июня 2022). Дата обращения: 9 января 2024.
  11. About URL Security Zones (Windows). learn.microsoft.com (15 августа 2017). Дата обращения: 9 января 2024.
  12. CVE-2022-41091. National Vulnerability Database. Дата обращения: 9 января 2024.
  13. Windows Mark of the Web Security Feature Bypass Vulnerability. Microsoft MSRC (8 ноября 2022). Дата обращения: 9 января 2024.
  14. CVE-2022-44698. National Vulnerability Database. Дата обращения: 9 января 2024.
  15. CVE-2023-36584. National Vulnerability Database (10 октября 2023). Дата обращения: 18 июня 2024.
  16. CVE-2024-38217. NIST National Vulnerability Database. Дата обращения: 1 октября 2025.
  17. Kolsek, Mitja Micropatches for "LNK Stomping" Windows Mark of the Web Security Feature Bypass (CVE-2024-38217). Дата обращения: 1 октября 2025.
  18. Hegt, Stan Mark-of-the-Web from a Red Team's Perspective. Outflank (30 марта 2020). Дата обращения: 19 июня 2024.

Категории