مهاجمان از روشی جدید برای دورزدن سیستم امنیتی SmartScreen در ویندوز استفاده میکنند. این نقص نوعی آسیبپذیری روز صفر محسوب میشود و از ماه مارس تاکنون از آن سوءاستفاده شده است.
بهگزارش تکناک، امروز، مایکروسافت فاش کرد که نوعی آسیبپذیری دورزدن امنیت (Bypass) که مهاجمان بهعنوان آسیبپذیری روز صفر از آن برای دورزدن محافظت SmartScreen سوءاستفاده کرده بودند، در آپدیتهای امنیتی ژوئن ۲۰۲۴ پچ شده است.
SmartScreen یکی از ویژگیهای امنیتی است که همزمان با ویندوز ۸ معرفی شده است و از کاربران دربرابر نرمافزارهای مخرب هنگام بازکردن فایلهای دانلودشده با برچسب علامت وب (MotW) محافظت میکند.
درحالیکه مهاجمان ناشناس در حملاتی با پیچیدگی نهچندان زیاد میتوانند از این آسیبپذیری (با شناسهی CVE-2024-38213) از راه دور سوءاستفاده کنند، به تعامل کاربر نیاز دارد که دستیابی به سوءاستفادهی موفقیتآمیز را دشوارتر میکند.
ردموندیها دربارهی این موضوع میگویند:
مهاجمی که با موفقیت از این آسیبپذیری سوءاستفاده کند، میتواند از تجربهی کاربری SmartScreen عبور کند. مهاجم باید فایلی مخرب برای کاربر ارسال و او را برای بازکردن آن ترغیب کند.
بلیپینگ کامپیوتر مینویسد که با وجود افزایش سختی در سوءاستفاده از آن، پیتر گیرنوس، محقق امنیتی ترند میکرو، کشف کرد که در ماه مارس از آسیبپذیری مذکور در دنیای واقعی سوءاستفاده شده است.
گیرنوس حملات را به مایکروسافت گزارش کرد و این شرکت در آپدیتهای امنیتی ژوئن ۲۰۲۴ نقص مذکور را وصله کرد. بااینحال، این شرکت فراموش کرد که دستورالعملهای ایمنی را با بهروزرسانیهای امنیتی آن ماه یا جولای منتشر کند.
داستین چایلدز، رئیس آگاهی از تهدیدهای ZDI، به BleepingComputer گفت:
در مارس ۲۰۲۴، تیم شکار تهدیدهای ابتکاری روز صفر ترند میکرو تجزیهوتحلیل نمونههای مرتبط با فعالیت اپراتورهای دارکگیت برای آلودهکردن کاربران ازطریق عملیات کپی و چسباندن را شروع کرد.
این کمپین دارکگیت بهروزرسانیای از کمپینی قدیمی بود که در آن اپراتورهای دارکگیت از آسیبپذیری روز صفر CVE-2024-21412 که در اوایل امسال افشا شد، سوءاستفاده میکردند.
سوءاستفاده از SmartScreen ویندوز در حملات بدافزار
در حملات ماه مارس، اپراتورهای بدافزار دارکگیت از دورزدن ویندوز اسمارتاسکرین (CVE-2024-21412) برای استقرار بارهای مخرب مبدل بهعنوان نصبکنندههای اپل آیتونز، نوتیون، انویدیا و سایر نرمافزارهای قانونی استفاده کردند.
حین بررسی کمپین مارس، محققان ترند میکرو به سوءاستفاده از SmartScreen در حملات و نحوهی برخورد با فایلها از اشتراکهای WebDAV در طول عملیات کپی و چسباندن پرداختند.
چایلدز اضافه کرد:
درنتیجه، CVE-2024-38213 را کشف و به مایکروسافت گزارش کردیم که آنها در ماه ژوئن آن را وصله کردند. این اکسپلویت که ما آن را copy2pwn نامیدهایم، به کپیشدن فایلی از WebDAV بهصورت محلی و بدون محافظتهای Mark-of-the-Web منجر میشود.
CVE-2024-21412 خود نوعی دورزدن برای آسیبپذیری دیگر Defender SmartScreen با ردیابی CVE-2023-36025 بود که بهعنوان آسیبپذیری روز صفر برای استقرار بدافزار Phemedrone با سوءاستفاده مواجه و در آپدیتهای امنیتی نوامبر ۲۰۲۳ وصله شد.
از ابتدای سال، گروه هکری Water Hydra (با نام مستعار DarkCasino) که انگیزه مالی دارد، از CVE-2024-21412 برای هدف قراردادن کانالهای تلگرام معاملات سهام و انجمنهای معاملات فارکس با تروجان دسترسی از راه دور DarkMe در شب سال نو استفاده کرده است.
افزونبراین، چایلدز در آوریل به BleepingComputer گفت که همین باند جرایم سایبری از CVE-2024-29988 (نقص دیگر SmartScreen و دورزدن CVE-2024-21412) در حملات بدافزار فوریه سوءاستفاده کرده است.
همانطورکه Elastic Security Labs کشف کرد، نوعی نقص طراحی در کنترل برنامهی هوشمند ویندوز و SmartScreen که به مهاجمان اجازه میدهد برنامهها را بدون فعالکردن هشدارهای امنیتی اجرا کنند، حداقل از سال ۲۰۱۸ در حملات متعدد با سوءاستفاده روبهرو شده است. Elastic Security Labs این یافتهها را به مایکروسافت گزارش کرد و به آنها گفته شد که مشکل مذکور ممکن است در بهروزرسانی آیندهی ویندوز برطرف شود.
