0day Copy2Pwn CVE-2024-38213 可绕过 Windows 安全防护

图片来源：Zero Day Initiative

趋势科技零日计划 (ZDI) 的研究人员公布了Windows 漏洞的技术细节，该漏洞编号为 CVE-2024-38213，暴露了操作系统保护用户免受远程代码执行攻击的能力存在严重缺陷。该漏洞被称为“Copy2Pwn”，允许威胁行为者绕过 Windows 的 Mark-of-the-Web (MotW) 保护，使数百万用户面临风险。

对 CVE-2024-38213 的调查始于 2024 年 3 月，当时 ZDI 的威胁搜寻团队分析了臭名昭著的 DarkGate 组织策划的一系列恶意活动。这些活动专注于通过看似简单的复制粘贴操作感染用户。这波新攻击标志着之前利用另一个零日漏洞 CVE-2024-21412 的活动的演变，该漏洞于今年早些时候披露。

DarkGate 运营商利用基于 Web 的分布式创作和版本控制 (WebDAV) 共享来分发恶意负载。WebDAV 是 HTTP 的扩展，允许使用 UNC 路径通过 Web 或 Windows 资源管理器访问文件。但是，从这些共享复制的文件并不总是正确标记有 MotW，这是一项关键的安全功能，可保护用户免受不受信任的内容的侵害。

Microsoft Edge 提示用户在 Windows 资源管理器中打开 WebDAV 共享 | 图片：Zero Day Initiative

CVE-2024-38213 的根源在于 Windows 处理从 WebDAV 共享复制的文件的方式。当用户将文件从 WebDAV 共享复制并粘贴到本地系统时，该文件应使用 MotW 进行标记，表明其来源不受信任。此标记会触发额外的安全检查，例如 Windows Defender SmartScreen 和 Microsoft Office Protected View，这些检查旨在防止执行潜在的有害内容。

然而，ZDI 研究人员发现，在微软 2024 年 6 月发布安全补丁之前，以这种方式复制的文件没有获得必要的 MotW 标记。因此，恶意文件可以在不触发任何安全警告或检查的情况下打开，从而有效地绕过 Windows 的内置保护。这种漏洞被称为“Copy2Pwn”，它使威胁行为者能够以最少的用户交互在受害者的机器上执行远程代码。

最近，威胁者越来越多地使用 WebDAV 共享来托管恶意负载。此漏洞以及其他近期漏洞凸显了使用 WebDAV 的潜在危险，尤其是通过 Windows 资源管理器访问时。

MotW 是一项重要的安全功能，它增加了一层保护，以防止从不受信任的来源下载恶意文件。当文件被标记为 MotW 时，它会在打开时触发安全检查和提示，从而降低意外执行有害内容的风险。

微软在 6 月份的安全补丁中解决了 CVE-2024-38213 问题。Windows 用户需要确保其系统已完全更新，以防范此漏洞和其他类似威胁。

ZDI公布的漏洞细节：https://www.zerodayinitiative.com/blog/2024/8/14/cve-2024-38213-copy2pwn-exploit-evades-windows-web-protections

原文始发于微信公众号（独眼情报）：0day Copy2Pwn CVE-2024-38213 可绕过 Windows 安全防护