مایکروسافت یک آسیبپذیری مهم را که برای دور زدن محافظت SmartScreen توسط مهاجمان استفاده میشده، شناسایی کرده و آن را در بهروزرسانیهای امنیتی ماه ژوئن ۲۰۲۴ اصلاح کرده است.
SmartScreen یک ویژگی امنیتی است که با ویندوز ۸ معرفی شد و از کاربران در برابر نرمافزارهای بالقوه مخرب محافظت میکند. این محافظت زمانی فعال میشود که کاربران فایلی را باز میکنند که از اینترنت دانلود شده و برچسب Mark of the Web (MotW) دارد.
آسیبپذیریای که با کد CVE-2024-38213 شناسایی میشود، میتواند از راه دور توسط مهاجمان ناشناس (که نیازی به احراز هویت ندارند) در حملات ساده مورد سوءاستفاده قرار گیرد. اما برای بهرهبرداری موفقیتآمیز از این آسیبپذیری، نیاز به تعامل کاربر وجود دارد که همین موضوع باعث میشود بهرهبرداری از آن سختتر شود.
اگر مهاجم بتواند از این آسیبپذیری بهرهبرداری کند، قادر خواهد بود از سیستم امنیتی SmartScreen عبور کند، اما برای این کار نیاز است که ابتدا فایل مخربی به کاربر ارسال کرده و کاربر را متقاعد کند تا آن را باز کند.
با وجود سختتر شدن بهرهبرداری از این آسیبپذیری، محقق امنیتی شرکت Trend Micro به نام Peter Girnus در ماه مارس کشف کرد که این آسیبپذیری به صورت فعال در دنیای واقعی مورد سوءاستفاده قرار گرفته است. Girnus این حملات را به مایکروسافت گزارش داد، و مایکروسافت نیز این نقص را در بهروزرسانیهای امنیتی Patch Tuesday در ژوئن ۲۰۲۴ رفع کرد. با این حال، شرکت مایکروسافت فراموش کرد که مشاوره یا راهنمایی مرتبط با این آسیبپذیری را در بهروزرسانیهای امنیتی آن ماه (یا حتی ماه ژوئیه) شامل کند.
تیم شکار تهدیدات در Trend Micro در ماه مارس ۲۰۲۴ شروع به بررسی و تحلیل نمونههایی کردند که به فعالیتهای مخرب گروه DarkGate مرتبط بود و این گروه با استفاده از عملیات کپی و پیست کاربران را آلوده میکردند.
این کمپین DarkGate نسخه بهروزرسانیشدهای از یک کمپین قبلی است که در آن اپراتورهای DarkGate از یک آسیبپذیری روز صفر (zero-day) به نام CVE-2024-21412 سوءاستفاده میکردند. ما این آسیبپذیری را اوایل امسال به مایکروسافت گزارش دادیم.
Windows SmartScreen در حملات بدافزاری مورد سوءاستفاده قرار گرفته است.
در حملات ماه مارس، اپراتورهای بدافزار DarkGate از این روش دور زدن Windows SmartScreen ( با کد آسیبپذیری CVE-2024-21412 ) سوءاستفاده کردند تا Malicious Payloads را که بهصورت نصبکنندههای قانونی برای نرمافزارهایی مانند Apple iTunes، Notion، NVIDIA و سایر نرمافزارهای معتبر استتار شده بودند، در سیستمها اجرا کنند.
محققان Trend Micro علاوه بر بررسی حملات ماه مارس، به بررسی این موضوعات نیز پرداختهاند: چگونگی سوءاستفاده از SmartScreen در حملات و نحوه مدیریت فایلهایی که از منابع WebDAV در هنگام عملیات کپی و پیست به سیستم منتقل میشوند.
در نتیجه، ما آسیبپذیری CVE-2024-38213 را کشف و به مایکروسافت گزارش دادیم که آنها آن را در ماه ژوئن اصلاح کردند. این آسیبپذیری که ما نام copy2pwn را برای آن انتخاب کردهایم، باعث میشود که فایلی از یک منبع WebDAV به صورت محلی کپی شود بدون اینکه از محافظتهای Mark-of-the-Web بهرهبرداری شود,” Childs اضافه کرد.
آسیبپذیری CVE-2024-21412 بهعنوان یک روش دور زدن برای آسیبپذیری CVE-2023-36025 عمل میکرد که برای توزیع بدافزار Phemedrone استفاده میشد و در بهروزرسانیهای امنیتی نوامبر ۲۰۲۳ برطرف شد.
از ابتدای سال جاری، گروه هکری Water Hydra( که به نام DarkCasino نیز شناخته میشود ) از آسیبپذیری CVE-2024-21412 برای هدف قرار دادن کانالهای تلگرام و انجمنهای معاملات فارکس استفاده کرده و در شب سال نو از تروجان DarkMe برای انجام حملات خود بهره برده است.
علاوه بر موارد ذکر شده، Elastic Security Labs کشف کرده است که یک نقص طراحی در Windows Smart App Control و SmartScreen وجود دارد که به مهاجمان اجازه میدهد برنامهها را بدون ایجاد هشدارهای امنیتی اجرا کنند. این نقص از حداقل سال ۲۰۱۸ در حملات مورد سوءاستفاده قرار گرفته است. Elastic Security Labs این یافتهها را به مایکروسافت گزارش داد و مایکروسافت به آنها اطلاع داد که این مشکل “ممکن است” در یک بهروزرسانی آینده ویندوز برطرف شود.
