今天,微软透露,在2024年6月的补丁星期二期间,攻击者利用一个Mark of the Web安全绕过漏洞作为零日绕过SmartScreen保护。
SmartScreen是Windows 8引入的一项安全功能,可在用户打开带有Web标记(MotW)标签的下载文件时保护用户免受潜在恶意软件的攻击。
虽然该漏洞(跟踪为CVE-2024-38213)可以由未经身份验证的威胁行为者在低复杂性攻击中远程利用,但它需要用户交互,使得成功利用变得更加困难。
成功利用此漏洞的攻击者可以绕过SmartScreen用户体验。攻击者必须向用户发送一个恶意文件,并说服他们打开它,”雷德蒙在周二发布的安全咨询中解释说。
尽管利用该漏洞的难度越来越大,但趋势科技安全研究员Peter Girnus在3月份发现该漏洞正在被利用。Girnus向微软报告了这些攻击,微软在周二的2024年6月补丁中修补了该漏洞。然而,该公司忘记将该建议包含在当月(或7月)的安全更新中。
“2024年3月,趋势科技的零日倡议威胁狩猎团队开始分析与DarkGate运营商通过复制粘贴操作感染用户的活动有关的样本,”ZDI的威胁意识负责人Dustin查尔兹今天告诉BleepingComputer。
“这次DarkGate活动是对之前活动的更新,其中DarkGate运营商利用了零日漏洞CVE-2024-21412,我们在今年早些时候向微软披露了该漏洞。"
Windows SmartScreen在恶意软件攻击中被滥用
在3月份的攻击中,DarkGate恶意软件运营商利用此Windows SmartScreen旁路(CVE-2024-21412)部署恶意有效载荷,这些恶意载荷被伪装成Apple iTunes,Notion,NVIDIA和其他合法软件的安装程序。
在调查3月份的活动时,趋势科技的研究人员还调查了SmartScreen在攻击中的滥用情况,以及在复制和粘贴操作期间如何处理来自WebDAV共享的文件。
“因此,我们发现并向微软报告了CVE-2024-38213,他们在6月份修补了该漏洞。这个漏洞,我们命名为copy 2 pwn,导致一个文件从一个WebDAV被复制到本地没有标记的网络保护,”查尔兹补充说。
CVE-2024-21412本身是另一个Defender SmartScreen漏洞的旁路,该漏洞被跟踪为CVE-2023-36025,被利用为零日部署Phemedrone恶意软件,并在2023年11月的补丁星期二期间进行了修补。
自今年年初以来,出于经济动机的Water Hydra(又名DarkCasino)黑客组织还利用CVE-2024-21412在新年前夜利用DarkMe远程访问木马(RAT)攻击股票交易Telegram频道和外汇交易论坛。
查尔兹还在4月份告诉安全媒体,同一个网络犯罪团伙在2月份的恶意软件攻击中利用了CVE-2024-29988(另一个SmartScreen漏洞和CVE-2024-21412旁路)。
此外,正如Elastic Security Labs所发现的那样,Windows Smart App Control和SmartScreen中的一个设计缺陷,使攻击者能够在不触发安全警告的情况下启动程序,至少自2018年以来,该漏洞也已被利用。Elastic Security Labs向Microsoft报告了这些发现,并被告知此问题“可能会在未来的Windows更新中得到修复”。
原文始发于微信公众号(俊杰说黑客):Windows SmartScreen旁路被利用为0day零日漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论