Microsoft предприняла значительные шаги для повышения безопасности пользователей, устранив уязвимость обхода Mark of the Web (MotW), идентифицированную как CVE-2024-38213, в рамках июньского Patch Tuesday 2024 года. Эта уязвимость использовалась злоумышленниками как нулевой день, позволяя им обходить функцию защиты SmartScreen, впервые представленную в Windows 8 для защиты пользователей от потенциально вредоносного ПО при открытии загруженных файлов.
SmartScreen: Критическая линия защиты
SmartScreen служит критической линией защиты, но рассматриваемая уязвимость может быть использована удаленно неаутентифицированными злоумышленниками, хотя с оговоркой: это требует взаимодействия пользователя. Как отмечено в консультативном документе Microsoft, «злоумышленник, успешно использовавший эту уязвимость, мог бы обойти пользовательский интерфейс SmartScreen. Злоумышленнику необходимо отправить пользователю вредоносный файл и убедить его открыть его».
Несмотря на присущие сложности успешного выполнения такой атаки, исследователь безопасности Trend Micro Питер Гирнус обнаружил доказательства активной эксплуатации уязвимости в марте. После его отчета в Microsoft, уязвимость была устранена в июне 2024 года. Однако стоит отметить, что консультативный документ, подробно описывающий это исправление, был случайно упущен из обновлений безопасности, выпущенных в том месяце, а также в июле.
Атаки с использованием SmartScreen
Согласно Дастину Чайлдсу, руководителю отдела осведомленности о угрозах в Zero Day Initiative компании Trend Micro, расследование мартовских атак показало, что операторы DarkGate использовали этот обход SmartScreen для заражения пользователей через казалось бы безобидные операции копирования и вставки. «В марте 2024 года команда по охоте за угрозами Zero Day Initiative компании Trend Micro начала анализировать образцы, связанные с деятельностью операторов DarkGate по заражению пользователей через операции копирования и вставки», — объяснил Чайлдс.
Во время мартовских инцидентов операторы вредоносного ПО DarkGate использовали обход SmartScreen (CVE-2024-21412) для развертывания вредоносных нагрузок, замаскированных под установщики легитимного программного обеспечения, такого как Apple iTunes, Notion и NVIDIA. По мере углубления исследований кампании, исследователи Trend Micro также изучили, как управляются файлы из WebDAV-ресурсов во время операций копирования и вставки, что привело к обнаружению CVE-2024-38213. Этот эксплойт, названный «copy2pwn», позволяет скопировать файл из источника WebDAV локально без защитных мер, обычно связанных с Mark of the Web.
Интересно, что CVE-2024-21412 сам по себе был обходным решением для другой уязвимости Defender SmartScreen, CVE-2023-36025, которая использовалась как нулевой день для развертывания вредоносного ПО Phemedrone и была устранена в ноябре 2023 года. Финансово мотивированная хакерская группа Water Hydra, также известная как DarkCasino, была замешана в эксплуатации CVE-2024-21412 для атак на каналы Telegram по торговле акциями и форумы по торговле на форексе, особенно развертывая удаленный доступ Trojan (RAT) DarkMe в канун Нового года.
Кроме этих уязвимостей, Чайлдс подчеркнул, что та же киберпреступная организация также использовала CVE-2024-29988, еще одну уязвимость SmartScreen и обход CVE-2024-21412, во время атак вредоносного ПО в феврале. Более того, Elastic Security Labs выявила конструктивный недостаток в Windows Smart App Control и SmartScreen, который позволяет злоумышленникам запускать программы без вызова предупреждений безопасности — уязвимость, которая эксплуатируется с как минимум 2018 года. Elastic Security Labs сообщила об этих находках Microsoft, которая указала, что эта проблема «может быть исправлена» в будущем обновлении Windows.