На этой неделе компания Microsoft устранила уязвимость, связанную с обходом предупреждений Mark of the Web, которую злоумышленники эксплуатировали как 0-day для обхода защиты SmartScreen.
Напомним, что SmartScreen – это защитная функция, появившаяся еще в Windows 8 и предназначенная для защиты от потенциально вредоносного содержимого, которая активируется, когда пользователь пытается открыть файлы, полученные через интернет и помеченные Mark of the Web (MotW).
В рамках августовского «вторника обновлений» разработчики Microsoft исправили проблему CVE-2024-38213, которая могла удаленно использовать неаутентифицированными злоумышленниками, хотя и требовала взаимодействия с жертвой. Уязвимость позволяла атакующим создавать файлы, которые обходят предупреждения MotW.
«Злоумышленник, успешно эксплуатирующий эту уязвимость, может обойти SmartScreen. Злоумышленник должен отправить пользователю вредоносный файл и убедить открыть его», — писали в Microsoft, но не раскрывали никаких деталей об атаках, в которых применялась уязвимость.
Как объяснил теперь специалист Trend Micro Питер Гирнус (Peter Girnus) обнаруживший эту проблему, баг использовался хакерами еще в марте текущего года. Оказалось, что после обнаружения проблемы, эксперт уведомил об атаках Microsoft, и компания исправила недостаток еще в июне 2024 года. Однако в июне (а потом и в июле) разработчики забыли выпустить соответствующее уведомление.
«В марте 2024 года команда Trend Micro Zero Day Initiative (ZDI), специализирующаяся на поиске угроз, начала анализировать образцы, связанные с деятельностью операторов DarkGate, которые заражали пользователей с помощью операций копирования-вставки (copy-and-paste), — рассказали изданию Bleeping Computer представители ZDI. — Эта кампания стала обновлением предыдущей кампании DarkGate, в ходе которой злоумышленники эксплуатировали уязвимость нулевого дня CVE-2024-21412, о которой мы сообщили Microsoft в начале текущего года».
В мартовских атаках операторы DarkGate использовали уязвимость обхода SmartScreen (CVE-2024-21412) для развертывания вредоносной полезной нагрузки, замаскированной под установщики Apple iTunes, Notion, NVIDIA и другого легитимного ПО.
В ходе изучения этой активности специалисты Trend Micro углубились в исследование методов злоупотребления SmartScreen и того, как во время copy-and-paste операций обрабатываются файлы из WebDAV-хранилищ.
«В результате мы выявили проблему CVE-2024-38213, о которой сообщили Microsoft, и которая была исправлена в июне 2024 года. Эксплоит, который мы назвали copy2pwn, приводил к тому, что файлы из WebDAV копировались локально и не имели защиты MotW», — рассказывают эксперты.
Интересно, что упомянутая уязвимость CVE-2024-21412, по сути, представляла собой обход патча для другой проблемы в Defender SmartScreen — CVE-2023-36025. Этот баг тоже использовался как проблема нулевого дня, применялся для развертывания малвари Phemedrone и был исправлен в ноябре 2023 года.
Также стоит отметить, что совсем недавно еще один похожий дефект в Windows Smart App Control и SmartScreen обнаружили специалисты Elastic Security Labs. Эта проблема используется хакерами как минимум с 2018 года и так же позволяет злоумышленникам запускать софт в обход предупреждений системы безопасности. В Microsoft сообщили, что эта уязвимость «должна быть устранена» в одном из грядущих обновлений Windows.
