Компанія Microsoft нещодавно усунула серйозну уразливість у системі безпеки Windows SmartScreen, яка дозволяла зловмисникам обходити захисні механізми операційної системи. Ця вразливість, відома як CVE-2024-38213, експлуатувалася хакерами як “zero-day” для обходу попереджень Mark of the Web (MotW) та розповсюдження шкідливого програмного забезпечення.
Що таке SmartScreen та Mark of the Web?
SmartScreen – це вбудована функція безпеки Windows, яка з’явилася ще у Windows 8. Її основне завдання – захищати користувачів від потенційно небезпечного вмісту, особливо при спробі відкрити файли, завантажені з інтернету. Такі файли позначаються спеціальною міткою Mark of the Web (MotW), яка активує додаткові перевірки безпеки.
Деталі уразливості CVE-2024-38213
Уразливість CVE-2024-38213 дозволяла зловмисникам створювати файли, які обходили попередження MotW. Для успішної експлуатації атакуючому необхідно було переконати користувача відкрити шкідливий файл. Хоча для використання вразливості не потрібна аутентифікація, вона все ж вимагала взаємодії з жертвою.
Історія виявлення та виправлення
Уразливість була виявлена експертом Trend Micro Пітером Гірнусом (Peter Girnus) у березні 2024 року. Компанія Microsoft була повідомлена про проблему і випустила виправлення в червні 2024 року. Однак, через технічну помилку, офіційне повідомлення про патч не було опубліковано вчасно.
Експлуатація уразливості хакерами
За даними дослідників з Trend Micro Zero Day Initiative (ZDI), уразливість активно використовувалася операторами шкідливого ПЗ DarkGate. Зловмисники маскували свої шкідливі програми під легітимні інсталятори популярного програмного забезпечення, такого як Apple iTunes, Notion та NVIDIA.
Механізм атаки
Атаки базувалися на експлуатації вразливості при копіюванні файлів з WebDAV-сховищ. Дослідники назвали цю техніку “copy2pwn”. В результаті, скопійовані локально файли не мали захисту MotW, що дозволяло обходити перевірки SmartScreen.
Зв’язок з попередніми уразливостями
Цікаво, що CVE-2024-38213 є продовженням серії вразливостей у SmartScreen. Вона фактично обходить патч для попередньої проблеми CVE-2023-36025, яка також використовувалася як “zero-day” для розповсюдження шкідливого ПЗ Phemedrone у листопаді 2023 року.
Експерти з кібербезпеки підкреслюють важливість своєчасного оновлення операційної системи та програмного забезпечення. Користувачам Windows рекомендується негайно встановити останні оновлення безпеки для захисту від цієї та інших потенційних загроз. Організаціям варто посилити моніторинг мережевої активності та провести додаткове навчання співробітників з питань інформаційної безпеки.