Microsoft bugün, saldırganların SmartScreen korumasını aşmak için sıfır günlük bir güvenlik açığı olarak kullandıkları Mark of the Web güvenlik açığının Haziran 2024 Salı Yaması sırasında düzeltildiğini açıkladı.
SmartScreen, Windows 8 ile birlikte tanıtılan ve Web İşareti (MotW) etiketiyle etiketlenen indirilen dosyaları açarken kullanıcıları potansiyel kötü amaçlı yazılımlara karşı koruyan bir güvenlik özelliğidir.
Güvenlik açığı (CVE-2024-38213 olarak izleniyor) kimliği doğrulanmamış tehdit aktörleri tarafından düşük karmaşıklıktaki saldırılarda uzaktan istismar edilebilirken, kullanıcı etkileşimi gerektiriyor ve bu da başarılı bir istismarın elde edilmesini zorlaştırıyor
“Bu güvenlik açığından başarıyla yararlanan bir saldırgan, SmartScreen kullanıcı deneyimini aşabilir. Bir saldırganın kullanıcıya kötü amaçlı bir dosya göndermesi ve onu açmaya ikna etmesi gerekir,” diye açıklıyor Redmond Salı günü yayınlanan bir güvenlik duyurusunda.
İstismarının zorluğu artmasına rağmen, Trend Micro güvenlik araştırmacısı Peter Girnus, Mart ayında güvenlik açığının vahşi doğada istismar edildiğini keşfetti. Girnus, saldırıları Microsoft’a bildirdi ve Microsoft, açığı Haziran 2024 Salı Yaması sırasında düzeltti. Ancak şirket, o ayın güvenlik güncellemelerine (veya Temmuz’unkilere) uyarıyı eklemeyi unuttu.
ZDI’nin Tehdit Farkındalığı Başkanı Dustin Childs bugün BleepingComputer’a yaptığı açıklamada, “Mart 2024’te Trend Micro’nun Zero Day Initiative Threat Hunting ekibi, DarkGate operatörlerinin kullanıcıları kopyala-yapıştır işlemleriyle enfekte etmek için gerçekleştirdiği faaliyetlerle bağlantılı örnekleri analiz etmeye başladı” dedi.
“Bu DarkGate kampanyası, DarkGate operatörlerinin bu yılın başlarında Microsoft’a açıkladığımız CVE-2024-21412 adlı sıfır günlük bir güvenlik açığını istismar ettiği önceki bir kampanyanın güncellemesiydi.”
Windows SmartScreen kötü amaçlı yazılım saldırılarında kötüye kullanılıyor
Mart ayındaki saldırılarda, DarkGate kötü amaçlı yazılım operatörleri, bu Windows SmartScreen açığını (CVE-2024-21412) kullanarak, Apple iTunes, Notion, NVIDIA ve diğer meşru yazılımlar için yükleyiciler gibi gizlenmiş kötü amaçlı yükler dağıttı.
Trend Micro araştırmacıları Mart ayındaki saldırıyı araştırırken, saldırılarda SmartScreen’in kötüye kullanımını ve WebDAV paylaşımlarından gelen dosyaların kopyala-yapıştır işlemleri sırasında nasıl işlendiğini de inceledi.
“Sonuç olarak, Microsoft’a CVE-2024-38213’ü keşfettik ve bildirdik, onlar da Haziran ayında bunu düzelttiler. Copy2pwn adını verdiğimiz bu istismar, bir WebDAV’dan bir dosyanın Mark-of-the-Web korumaları olmadan yerel olarak kopyalanmasıyla sonuçlanıyor,” diye ekledi Childs.
CVE-2024-21412, CVE-2023-36025 olarak izlenen başka bir Defender SmartScreen güvenlik açığının atlatılmasıydı, Phemedrone kötü amaçlı yazılımını dağıtmak için sıfır gün olarak kullanıldı ve Kasım 2023 Salı Yaması sırasında yamalandı.
Yılbaşından bu yana, finansal amaçlı Water Hydra (diğer adıyla DarkCasino) hacker grubu, Yılbaşı gecesi DarkMe uzaktan erişim trojan’ı (RAT) ile hisse senedi ticareti Telegram kanallarını ve forex ticaret forumlarını hedef almak için CVE-2024-21412’yi de kullandı.
Childs ayrıca Nisan ayında BleepingComputer’a aynı siber suç çetesinin Şubat ayındaki kötü amaçlı yazılım saldırılarında CVE-2024-29988’i (bir başka SmartScreen açığı ve CVE-2024-21412’yi atlatma yöntemi) kullandığını söylemişti.
Ayrıca, Elastic Security Labs’ın keşfettiği gibi, saldırganların güvenlik uyarılarını tetiklemeden programları başlatmasına olanak tanıyan Windows Smart App Control ve SmartScreen’deki bir tasarım hatası da en azından 2018’den beri saldırılarda kullanılıyor. Elastic Security Labs bu bulguları Microsoft’a bildirdi ve bu sorunun gelecekteki bir Windows güncellemesinde “düzeltilebileceği” söylendi.