CVE-2024-38213：Copy2Pwn 漏洞可规避 Windows Web 保护

Zero Day Initiative 威胁研究人员发现了 CVE-2024-38213，这是一种绕过 Windows Web 标记保护的简单有效的方法，可导致远程代码执行。

2024 年 3 月，趋势科技的零日计划威胁搜寻团队开始分析与 DarkGate 运营商通过复制粘贴操作感染用户的活动相关的样本。这次 DarkGate 活动是之前活动的更新  ，在之前的活动中，DarkGate 运营商利用了零日漏洞CVE-2024-21412，我们在今年早些时候向 Microsoft 披露了该漏洞。

对该活动的调查直接影响了对 Windows Defender SmartScreen 漏洞的进一步研究，以及在复制粘贴操作期间如何处理来自 WebDAV 共享的文件。因此，我们发现并向 Microsoft 报告了 CVE-2024-38213，他们于 6 月修补了该漏洞。我们将此漏洞命名为 copy2pwn，它会导致 WebDAV 共享中的文件在本地被复制，而没有 Mark-of-the-Web 保护。

什么是基于 Web 的分布式创作和版本控制 (WebDAV)？

基于 Web 的分布式创作和版本控制 (WebDAV) 是超文本传输协议 (HTTP) 的扩展。它为 HTTP 提供了附加功能，包括创作、共享和版本控制等功能。

由于 WebDAV 基于 HTTP，因此可以使用 HTTP 协议通过 Web 浏览器访问 WebDAV 共享，例如http://10.37.129.2/example_webdav_folder/somefile。当使用 Microsoft Edge 或 Google Chrome 等浏览器从 WebDAV 共享下载文件时，该文件将与从 Web 下载的任何其他文件一样处理。正如预期的那样，该文件的本地副本将标有“Web 标记”。

在 Windows 上，用户还可以通过 UNC 路径（例如）访问和挂载 WebDAV 共享\10.37.129.2@80example_webdav_folder。用户可以使用 Windows 资源管理器浏览到此形式的路径。其功能类似于通过 Windows 访问 SMB 共享。以这种方式访问文件时，它们由 Windows 操作系统直接处理，而不是由浏览器处理。

威胁行为者和 WebDAV 共享

最近，我们发现威胁行为者在 WebDAV 共享上托管负载的情况有所增加。此活动导致发现大量漏洞，这些漏洞被滥用为零日漏洞，主要涉及从 WebDAV 共享访问恶意负载。这些漏洞包括CVE-2024-36025和最近的CVE-2024-21412等漏洞，以及 Microsoft 以CVE-2024-29988的形式提供的额外修复程序。这些漏洞主要围绕 Mark-of-the-Web 绕过和规避内置的 Microsoft 保护措施（例如 Windows Defender SmartScreen）。

如上所述，通过 Windows 资源管理器访问的 WebDAV 共享由 Windows 操作系统而不是浏览器处理。许多威胁行为者都意识到了这一点对 Mark-of-the-Web 的影响。在我们的威胁搜寻调查中，我们发现许多威胁行为者部署了一种简单的方法，利用 Windows 搜索协议通过 Windows 资源管理器打开 WebDAV 搜索。

图 1 – 通过 Windows 资源管理器打开 WebDAV 共享的搜索查询逻辑

当使用 Web 浏览器访问时，这会提示用户在 Windows 资源管理器中打开 WebDAV 共享。

图 2 – Microsoft Edge 提示用户在 Windows 资源管理器中打开 WebDAV 共享

使用图 1 中的逻辑，威胁行为者可以对最终用户在 WebDAV 共享上看到的内容进行高度控制。这是通过制作特定的 Windows 搜索查询来实现的，该查询仅显示威胁行为者希望用户看到的文件。此外，通过利用某些文件类型（例如 Internet 快捷方式 (.url) 或快捷方式 (.lnk)），威胁行为者可能会更改文件图标，使其看起来好像恶意文件是完全不同的类型。这会诱使用户无意中执行脚本或二进制文件。

图 3 – Windows 资源管理器窗口仅显示 poc.lnk.zip

正常情况下，通过 WebDAV 提供的文件会受到 Mark-of-the-Web 和 Windows Defender SmartScreen 保护。但是，上面提到的一系列漏洞（可能还有更多）可用于规避。

网络标记 (MotW) 保护的重要性

当用户从不受信任的来源（例如 Web）下载文件时，Windows 会将 Web 标记添加到文件的本地副本中。Web 标记由名为 Zone.Identifier 的 NTFS 备用数据流 (ADS) 组成。此流中包含文本ZoneId=3，表示该文件来自不受信任的来源。

图 4 – ZoneId=3 适用于来自不受信任来源的文件

Web 标记的存在会在打开文件时触发额外的安全检查和提示。这有助于降低执行不受信任内容的风险。

图 5 – 由于存在 Mark-of-the-Web 而显示的安全提示

Web 标记对于其他关键保护机制的运行也是必需的：

· Windows Defender SmartScreen，根据信誉和签名检查文件

· Microsoft Office Protected View，保护用户免受恶意宏和动态数据交换 (DDE) 攻击等威胁。

图 6 – Windows Defender SmartScreen 提示

不幸的是，威胁者发现 Windows 并不总是能处理或正确应用 Web 标记来处理通过 WebDAV 提供的文件。从历史上看，Windows 将 WebDAV 共享视为更类似于 SMB 共享，而不是 HTTP Web 服务器。这可能非常危险。

利用 CVE-2024-38213 绕过 Mark-of-the-Web 保护

在微软发布 6 月安全补丁之前，从 WebDAV 共享复制和粘贴的文件不会获得 Mark-of-the-Web 标识。这意味着用户可以将文件从 WebDAV 共享复制和粘贴到他们的桌面，并且这些文件随后可以在没有 Windows Defender SmartScreen 或 Microsoft Office Protected View 保护的情况下打开。具体而言，这意味着可执行文件不会受到信誉或签名检查。

复制和粘贴操作无处不在，因此 Windows 用户需要确保他们受到完全保护，以免遭受剪贴板劫持、粘贴劫持 和 copy2pwn 攻击，尤其是考虑到最近威胁行为者利用 WebDAV 共享进行有效载荷部署的活动。

结论

零日威胁追踪团队不断监测新出现的零日威胁。在分析现有和以前的威胁行为者和 APT 活动时，我们经常发现新的策略、技术、程序和隐藏的零日漏洞。

本案例强调了 ZDI 威胁搜寻与 ZDI 计划中的主动漏洞研究的整合。通过将威胁研究与零日计划的核心漏洞研究计划相结合，ZDI 威胁搜寻团队可以开发新的对抗模型并模拟现实世界中可能发生的新攻击策略。这种整合使我们能够在威胁行为者将其纳入攻击策略之前保护和防御客户免受潜在隐藏的攻击方法和攻击链的侵害。

一旦有更多发现，我们将及时更新。在此之前，请在Twitter、Mastodon、LinkedIn或Instagram上关注该团队，了解最新的漏洞利用技术和安全补丁。