Windows SmartScreen旁路被利用为0day零日漏洞

admin 2024年8月14日23:52:38评论25 views字数 1465阅读4分53秒阅读模式


Windows SmartScreen旁路被利用为0day零日漏洞

今天,微软透露,在2024年6月的补丁星期二期间,攻击者利用一个Mark of the Web安全绕过漏洞作为零日绕过SmartScreen保护。

SmartScreen是Windows 8引入的一项安全功能,可在用户打开带有Web标记(MotW)标签的下载文件时保护用户免受潜在恶意软件的攻击。

虽然该漏洞(跟踪为CVE-2024-38213)可以由未经身份验证的威胁行为者在低复杂性攻击中远程利用,但它需要用户交互,使得成功利用变得更加困难。

成功利用此漏洞的攻击者可以绕过SmartScreen用户体验。攻击者必须向用户发送一个恶意文件,并说服他们打开它,”雷德蒙在周二发布的安全咨询中解释说。

尽管利用该漏洞的难度越来越大,但趋势科技安全研究员Peter Girnus在3月份发现该漏洞正在被利用。Girnus向微软报告了这些攻击,微软在周二的2024年6月补丁中修补了该漏洞。然而,该公司忘记将该建议包含在当月(或7月)的安全更新中。

“2024年3月,趋势科技的零日倡议威胁狩猎团队开始分析与DarkGate运营商通过复制粘贴操作感染用户的活动有关的样本,”ZDI的威胁意识负责人Dustin查尔兹今天告诉BleepingComputer。

“这次DarkGate活动是对之前活动的更新,其中DarkGate运营商利用了零日漏洞CVE-2024-21412,我们在今年早些时候向微软披露了该漏洞。"

Windows SmartScreen在恶意软件攻击中被滥用

在3月份的攻击中,DarkGate恶意软件运营商利用此Windows SmartScreen旁路(CVE-2024-21412)部署恶意有效载荷,这些恶意载荷被伪装成Apple iTunes,Notion,NVIDIA和其他合法软件的安装程序。

在调查3月份的活动时,趋势科技的研究人员还调查了SmartScreen在攻击中的滥用情况,以及在复制和粘贴操作期间如何处理来自WebDAV共享的文件。

“因此,我们发现并向微软报告了CVE-2024-38213,他们在6月份修补了该漏洞。这个漏洞,我们命名为copy 2 pwn,导致一个文件从一个WebDAV被复制到本地没有标记的网络保护,”查尔兹补充说。

CVE-2024-21412本身是另一个Defender SmartScreen漏洞的旁路,该漏洞被跟踪为CVE-2023-36025,被利用为零日部署Phemedrone恶意软件,并在2023年11月的补丁星期二期间进行了修补。


自今年年初以来,出于经济动机的Water Hydra(又名DarkCasino)黑客组织还利用CVE-2024-21412在新年前夜利用DarkMe远程访问木马(RAT)攻击股票交易Telegram频道和外汇交易论坛。

查尔兹还在4月份告诉安全媒体,同一个网络犯罪团伙在2月份的恶意软件攻击中利用了CVE-2024-29988(另一个SmartScreen漏洞和CVE-2024-21412旁路)。

此外,正如Elastic Security Labs所发现的那样,Windows Smart App Control和SmartScreen中的一个设计缺陷,使攻击者能够在不触发安全警告的情况下启动程序,至少自2018年以来,该漏洞也已被利用。Elastic Security Labs向Microsoft报告了这些发现,并被告知此问题“可能会在未来的Windows更新中得到修复”。

原文始发于微信公众号(俊杰说黑客):Windows SmartScreen旁路被利用为0day零日漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月14日23:52:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows SmartScreen旁路被利用为0day零日漏洞http://cn-sec.com/archives/3067085.html

发表评论

匿名网友 填写信息