Astăzi, Microsoft a dezvăluit că o vulnerabilitate de securitate Mark of the Web exploatată de atacatori ca zero-day pentru a ocoli protecția SmartScreen a fost remediată în timpul Patch Tuesday din iunie 2024.
SmartScreen este o funcție de securitate introdusă odată cu Windows 8 care protejează utilizatorii împotriva software-urilor potențial dăunătoare atunci când deschid fișiere descărcate etichetate cu un marcaj Mark of the Web (MotW).
Deși vulnerabilitatea (urmarită ca CVE-2024-38213) poate fi exploatată de la distanță de actori de amenințare neautentificați în atacuri de complexitate redusă, necesită interacțiunea utilizatorului, făcând exploatarea reușită mai dificilă de realizat.
„Un atacator care a exploatat cu succes această vulnerabilitate ar putea ocoli experiența utilizatorului SmartScreen. Un atacator trebuie să trimită utilizatorului un fișier dăunător și să îl convingă să-l deschidă”, explică Redmond într-un anunț de securitate publicat marți.
În ciuda dificultății ridicate de a exploata această vulnerabilitate, cercetătorul de securitate Trend Micro, Peter Girnus, a descoperit că vulnerabilitatea era exploatată în sălbăticie în martie. Girnus a raportat atacurile către Microsoft, care a remediat defectul în timpul Patch Tuesday din iunie 2024. Cu toate acestea, compania a uitat să includă anunțul cu actualizările de securitate ale acelui lună (sau cu cele din iulie).
„În martie 2024, echipa de vânătoare de amenințări Zero Day Initiative a Trend Micro a început să analizeze mostrele conectate la activitatea desfășurată de operatorii DarkGate pentru a infecta utilizatorii prin operațiuni de copiere și lipire”, a declarat șeful de conștientizare a amenințărilor ZDI, Dustin Childs, pentru BleepingComputer astăzi.
„Această campanie DarkGate a fost o actualizare a unei campanii anterioare în care operatorii DarkGate exploatau o vulnerabilitate zero-day, CVE-2024-21412, pe care am dezvăluit-o către Microsoft mai devreme în acest an”.
În atacurile din martie, operatorii malware DarkGate au exploatat această ocolire a Windows SmartScreen (CVE-2024-21412) pentru a desfășura încărcături dăunătoare camuflate ca instalatoare pentru Apple iTunes, Notion, NVIDIA și alte software-uri legitime.
În timp ce investigau campania din martie, cercetătorii Trend Micro au analizat și abuzul SmartScreen în atacuri și modul în care fișierele din partajările WebDAV erau gestionate în timpul operațiunilor de copiere și lipire.
„Ca rezultat, am descoperit și am raportat către Microsoft CVE-2024-38213, pe care l-au remediat în iunie. Această exploatare, pe care am numit-o copy2pwn, duce la copierea locală a unui fișier din WebDAV fără protecții Mark-of-the-Web”, a adăugat Childs.
CVE-2024-21412 a fost în sine o ocolire pentru o altă vulnerabilitate Defender SmartScreen urmărită ca CVE-2023-36025, exploatată ca zero-day pentru a desfășura malware-ul Phemedrone și remediată în timpul Patch Tuesday din noiembrie 2023.
De la începutul anului, grupul de hacking Water Hydra cu motivație financiară (cunoscut și sub numele de DarkCasino) a exploatat, de asemenea, CVE-2024-21412 pentru a viza canalele de tranzacționare a acțiunilor și forumurile de tranzacționare forex cu troianul de acces la distanță DarkMe în Ajunul Anului Nou.
Childs a mai spus că aceeași bandă de criminalitate cibernetică a exploatat CVE-2024-29988 (o altă defecțiune SmartScreen și o ocolire CVE-2024-21412) în atacuri malware din februarie.
Mai mult, așa cum a descoperit Elastic Security Labs, o defecțiune de design în Windows Smart App Control și SmartScreen care permite atacatorilor să lanseze programe fără a declanșa avertismente de securitate a fost, de asemenea, exploatată în atacuri începând cu cel puțin 2018. Elastic Security Labs a raportat aceste constatări către Microsoft și li s-a spus că această problemă „poate fi rezolvată” într-o actualizare viitoare a Windows-ului.
Microsoft Patch Tuesday din august 2024 remediază 9 zero-day-uri, 6 exploatate
Zero-day-ul Windows MSHTML folosit în atacuri malware timp de peste un an
Atacul de retrogradare a actualizării Windows „dezinstalează” sistemele complet actualizate
Ocolirea Windows Smart App Control, SmartScreen exploatată începând cu 2018
Microsoft Patch Tuesday din iulie 2024 remediază 142 de defecte, 4 zero-day-uri
Leave a Reply