Scopri come gli attaccanti aggirano il Mark of the Web in Windows e quali contromisure adottare per proteggere utenti e aziende.
Il bypass Mark of the Web è una tecnica sempre più utilizzata dai criminali informatici per aggirare le protezioni di Windows ed eseguire file malevoli senza avvisi di sicurezza. Questo problema è critico sia per gli utenti privati che per le aziende, perché consente di diffondere malware, ransomware e phishing con maggiore efficacia.
Indicenascondi
Cos’è il Mark of the Web e perché è importante
Il Mark of the Web (MoTW) è un sistema di sicurezza di Windows che etichetta i file scaricati da Internet.
Attraverso un Alternate Data Stream chiamato
Zone.Identifier, il sistema operativo applica controlli di sicurezza aggiuntivi:
- SmartScreenmostra avvisi di rischio.
- Microsoft Officeapre i documenti inProtected View.
- PowerShelllimita l’esecuzione di script non autorizzati.
Finché il file conserva il suo tag MoTW, l’utente è avvisato del pericolo. Il problema nasce quando gli attaccanti riescono a rimuoverlo o aggirarlo.
Tecniche di bypass più comuni
Gli attaccanti sfruttano diversi metodi per eliminare o evitare il MoTW. Ecco i principali.
LNK Stomping: abuso dei collegamenti (.lnk)
Con il LNK Stomping, i criminali manipolano i file di collegamento (.lnk) in modo che eseguano codice dannoso senza essere tracciati come file provenienti dal web. Questo metodo è stato osservato in attacchi mirati contro aziende e governi.
Archivi e immagini disco
File compressi come .zip o immagini disco .iso non sempre conservano gli Alternate Data Streams. Quando l’utente estrae il contenuto, il tag
Zone.Identifiersparisce e il file può essere aperto senza alcun avviso di sicurezza.
Vulnerabilità in software di uso comune
Recenti vulnerabilità in programmi diffusi hanno facilitato bypass pratici:
- 7-Zip (CVE-2025-0411)ha permesso l’esecuzione di file senza MoTW.
- WinRARè stato sfruttato per distribuire malware occultato.
- Alcuni browserhanno mostrato difetti nella gestione del salvataggio file (FileFix), eliminando il MoTW inavvertitamente.
Perché questo problema è così pericoloso
Il bypass del MoTW aumenta notevolmente la superficie d’attacco.
Un documento Word con macro dannose o un eseguibile sospetto, se aperti senza i consueti avvisi, diventano trappole perfette. Per le aziende ciò significa rischi concreti:
- Maggior successo delle campagne di phishing.
- Possibile esecuzione di ransomware.
- Persistenza di minacce che aggirano controlli EDR e antivirus non aggiornati.
Come proteggersi dal bypass Mark of the Web
Ecco una checklist pratica per ridurre i rischi:
- Aggiornamenti costanti: installa patch per Windows, 7-Zip, WinRAR e browser.
- SmartScreen e Protected View attivi: non disabilitare questi controlli di default.
- Monitoraggio degli ADS: utilizza EDR che rilevino cancellazioni del
Zone.Identifier
. - Limitare l’uso degli archivi: blocca allegati compressi sospetti o aprili in sandbox.
- Bloccare le macro: applica policy che impediscono l’esecuzione automatica in documenti Office esterni.
- Formazione degli utenti: spiega i rischi legati all’apertura di file sconosciuti o scaricati da fonti non sicure.
Mark of the Web: Conclusione
Il bypass Mark of the Web è una minaccia reale e sempre più sfruttata. Non basta affidarsi agli avvisi di Windows: occorre aggiornare costantemente i software, rafforzare le policy di sicurezza e sensibilizzare gli utenti. Solo così è possibile ridurre al minimo il rischio di attacchi che sfruttano questa tecnica.