Компания Microsoft недавно устранила серьезную уязвимость в системе безопасности SmartScreen, которая позволяла злоумышленникам обходить защитные механизмы Windows. Эта проблема, обозначенная как CVE-2024-38213, эксплуатировалась хакерами с марта 2024 года, что подчеркивает важность своевременного обновления систем безопасности.
Суть уязвимости SmartScreen и ее последствия
SmartScreen — это встроенная в Windows функция безопасности, предназначенная для защиты пользователей от потенциально вредоносного контента. Она активируется при попытке открыть файлы, загруженные из интернета и помеченные специальной меткой Mark of the Web (MotW). Уязвимость CVE-2024-38213 позволяла злоумышленникам создавать файлы, которые обходили эти предупреждения, тем самым подвергая пользователей риску.
По словам экспертов из Trend Micro, уязвимость активно использовалась операторами вредоносного ПО DarkGate. Злоумышленники маскировали вредоносную нагрузку под установщики популярного легитимного программного обеспечения, такого как Apple iTunes, Notion и NVIDIA, что значительно повышало шансы на успешное заражение систем пользователей.
Хронология обнаружения и устранения уязвимости
Питер Гирнус, специалист Trend Micro, обнаружил эту уязвимость в марте 2024 года. Компания Microsoft была немедленно уведомлена о проблеме и выпустила исправление в июне 2024 года. Однако из-за административной ошибки соответствующее уведомление не было опубликовано ни в июне, ни в июле. Официальное признание и публичное исправление уязвимости произошло только в рамках августовского «вторника обновлений».
Технические детали эксплоита
Эксперты Trend Micro назвали обнаруженный эксплоит «copy2pwn». Его суть заключалась в том, что при копировании файлов из WebDAV-хранилищ они сохранялись локально без защитной метки MotW. Это позволяло вредоносным файлам обходить проверки SmartScreen и выполняться на компьютерах жертв без предупреждений системы безопасности.
Связь с предыдущими уязвимостями
Интересно отметить, что CVE-2024-38213 является частью более широкой тенденции уязвимостей в системе SmartScreen. Ранее была обнаружена уязвимость CVE-2024-21412, которая, по сути, представляла собой обход патча для еще более ранней проблемы CVE-2023-36025. Это указывает на постоянную «гонку вооружений» между разработчиками систем безопасности и киберпреступниками.
Кроме того, недавно специалисты Elastic Security Labs обнаружили еще один похожий дефект в Windows Smart App Control и SmartScreen, который эксплуатируется хакерами как минимум с 2018 года. Microsoft заявила о планах устранить эту уязвимость в одном из будущих обновлений Windows.
Эта серия уязвимостей подчеркивает критическую важность регулярного обновления программного обеспечения и систем безопасности. Пользователям и администраторам систем настоятельно рекомендуется своевременно устанавливать все обновления безопасности от Microsoft и других производителей ПО. Кроме того, важно применять многоуровневый подход к кибербезопасности, включая использование антивирусного ПО, файерволов и обучение пользователей основам информационной безопасности.