最近出现的零日漏洞CVE-2024–38213被称为“Copy2Pwn”,因其能够绕过 Windows 的 Mark-of-the-Web (MotW) 保护而成为头条新闻,导致数百万用户面临远程代码执行 (RCE) 攻击。让我们深入了解一下此漏洞的工作原理、其危险性以及您可以采取哪些措施来保护自己。
Copy2Pwn 漏洞:有何大不了?
想象一下,您正在从共享网络驱动器复制文件——一些简单的文件,例如文档或看似无害的应用程序。通常,Windows 应该使用 MotW 标签标记从网络下载或从外部来源复制的文件。此标签会触发安全检查,例如 Windows Defender SmartScreen 和 Microsoft Office Protected View,这些检查旨在阻止恶意文件运行。但如果这些检查从未发生过怎么办?
Copy2Pwn 利用了 Windows 处理从 WebDAV 共享复制的文件时的一个漏洞。这些共享允许使用 UNC 路径(例如\webdavservershare)通过 Web 或 Windows 资源管理器访问文件。在 Microsoft 于 2024 年 6 月发布补丁之前,通过 WebDAV 复制的文件不会获得关键的 MotW 标识。这种疏忽使用户容易受到看似可信但实际上含有恶意代码的文件的攻击。
现实世界的影响:暗门连接
趋势科技的零日计划 (ZDI) 在对臭名昭著的 DarkGate 组织发起的活动进行调查时发现了 Copy2Pwn。该组织以其复杂的网络攻击而闻名,他们找到了一种利用复制和粘贴文件这一简单行为进行攻击的方法。通过在 WebDAV 共享上托管恶意负载,他们利用 Copy2Pwn 漏洞来分发绕过 Windows 内置保护的恶意软件。
这种攻击方法代表了战术的进化。DarkGate 之前曾利用过另一个零日漏洞CVE-2024–21412,但 Copy2Pwn 标志着一次重大飞跃。现在,只需一次复制粘贴操作,攻击者就可以将恶意文件放入用户系统而不会触发任何危险信号。这些文件可以自由运行,而不会出现通常的 SmartScreen 警告或安全提示,从而为远程代码执行打开大门。
分解技术细节
WebDAV 是 HTTP 的协议扩展,通常用于通过互联网进行协作文件共享。但其灵活性也使其成为威胁行为者的主要目标。当文件从 WebDAV 共享中复制时,Windows 应该使用 MotW 将其标记为潜在危险。然而,ZDI 研究人员发现,这一关键的安全步骤被跳过了。
缺少 MotW 标签意味着 Windows Defender 和 Protected View 等安全层永远不会被激活。可执行文件、脚本,甚至是从 WebDAV 复制的看似无害的文档都可以在未经常规检查的情况下打开。这种疏忽允许攻击者将恶意软件隐藏在用户信任的文件中,从而导致隐秘的 RCE 攻击。
Copy2Pwn 实战:一种狡猾的粘贴攻击
想象一下这样的场景:用户从受信任合作伙伴托管的 WebDAV 共享中复制应用程序安装程序。他们不知道,此文件包含恶意代码。由于 Copy2Pwn 漏洞,Windows 无法使用 MotW 标记该文件。用户双击安装程序,以为是常规安装。相反,该文件默默执行恶意代码,让攻击者控制他们的机器。
正是这种简单性(依赖复制粘贴等常见操作)使得 Copy2Pwn 特别危险。这种攻击不需要复杂的网络钓鱼或社交工程;它只是直接利用了对系统的信任。
防御:
微软在其 2024 年 6 月的安全补丁中解决了此漏洞,因此第一步是确保您的系统已完全更新。但是,您还可以采取其他预防措施:
谨慎使用网络共享:避免从不熟悉的 WebDAV 共享下载或复制文件,即使它们看起来值得信赖。
使用强大的端点保护:虽然 MotW 是一项重要的安全功能,但拥有基于行为的检测等额外的保护层可以提供额外的保障。
启用高级威胁防护:企业应该使用 Microsoft Defender for Endpoint 等工具,它为可疑文件活动提供更高级的检测功能。
最后的想法:复制粘贴攻击的演变
CVE-2024–38213 或 Copy2Pwn 提醒我们,即使是最基本的操作(例如复制文件)在绕过安全措施时也会产生危险的后果。随着威胁行为者的策略不断发展,防御者必须领先一步。通过了解此漏洞的细微差别并应用主动安全措施,您可以最大限度地降低风险并确保系统安全。
原文始发于微信公众号(Ots安全):Copy2Pwn:CVE-2024-38213 如何仅通过复制粘贴绕过 Windows 安全机制
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论