سوءاستفاده از نقص امنیتی SmartScreen از ماه مارس

مهاجمان از روشی جدید برای دور‌زدن سیستم امنیتی SmartScreen در ویندوز استفاده می‌کنند. این نقص نوعی آسیب‌پذیری روز صفر محسوب می‌شود و از ماه مارس تاکنون از آن سوءاستفاده شده است.

به‌گزارش تک‌ناک، امروز، مایکروسافت فاش کرد که نوعی آسیب‌پذیری دور‌زدن امنیت (Bypass) که مهاجمان به‌عنوان آسیب‌پذیری روز صفر از آن برای دور‌زدن محافظت SmartScreen سوءاستفاده کرده بودند، در آپدیت‌های امنیتی ژوئن ۲۰۲۴ پچ شده است.

SmartScreen یکی از ویژگی‌های امنیتی است که هم‌زمان با ویندوز ۸ معرفی شده است و از کاربران در‌برابر نرم‌افزارهای مخرب هنگام باز‌کردن فایل‌های دانلود‌شده با برچسب علامت وب (MotW) محافظت می‌کند.

در‌حالی‌که مهاجمان ناشناس در حملاتی با پیچیدگی نه‌چندان زیاد می‌توانند از این آسیب‌پذیری (با شناسه‌ی CVE-2024-38213) از راه دور سوءاستفاده کنند، به تعامل کاربر نیاز دارد که دستیابی به سوءاستفاده‌ی موفقیت‌آمیز را دشوارتر می‌کند.

ردموندی‌ها درباره‌ی این موضوع می‌گویند:

مهاجمی که با موفقیت از این آسیب‌پذیری سوء‌استفاده کند، می‌تواند از تجربه‌ی کاربری SmartScreen عبور کند. مهاجم باید فایلی مخرب برای کاربر ارسال و او را برای باز‌کردن آن ترغیب کند.

بلیپینگ کامپیوتر می‌نویسد که با وجود افزایش سختی در سوءاستفاده از آن، پیتر گیرنوس، محقق امنیتی ترند میکرو، کشف کرد که در ماه مارس از آسیب‌پذیری مذکور در دنیای واقعی سوء‌استفاده شده است.

گیرنوس حملات را به مایکروسافت گزارش کرد و این شرکت در آپدیت‌های امنیتی ژوئن ۲۰۲۴ نقص مذکور را وصله کرد. با‌این‌حال، این شرکت فراموش کرد که دستورالعمل‌های ایمنی را با به‌روزرسانی‌های امنیتی آن ماه یا جولای منتشر کند.

داستین چایلدز، رئیس آگاهی از تهدیدهای ZDI، به BleepingComputer گفت:

در مارس ۲۰۲۴، تیم شکار تهدیدهای ابتکاری روز صفر ترند میکرو تجزیه‌و‌تحلیل نمونه‌های مرتبط با فعالیت اپراتورهای دارک‌گیت برای آلوده‌کردن کاربران از‌طریق عملیات کپی و چسباندن را شروع کرد.

این کمپین دارک‌گیت به‌روزرسانی‌ای از کمپینی قدیمی بود که در آن اپراتورهای دارک‌گیت از آسیب‌پذیری روز صفر CVE-2024-21412 که در اوایل امسال افشا شد، سوء‌استفاده می‌کردند.

سوءاستفاده از SmartScreen ویندوز در حملات بدافزار

در حملات ماه مارس، اپراتورهای بدافزار دارک‌گیت از دورزدن ویندوز اسمارت‌اسکرین (CVE-2024-21412) برای استقرار بارهای مخرب مبدل به‌عنوان نصب‌کننده‌های اپل آیتونز، نوتیون، انویدیا و سایر نرم‌افزارهای قانونی استفاده کردند.

حین بررسی کمپین مارس، محققان ترند میکرو به سوء‌استفاده از SmartScreen در حملات و نحوه‌ی برخورد با فایل‌ها از اشتراک‌های WebDAV در طول عملیات کپی و چسباندن پرداختند.

چایلدز اضافه کرد:

درنتیجه، CVE-2024-38213 را کشف و به مایکروسافت گزارش کردیم که آن‌ها در ماه ژوئن آن را وصله کردند. این اکسپلویت که ما آن را copy2pwn نامیده‌ایم، به کپی‌شدن فایلی از WebDAV به‌صورت محلی و بدون محافظت‌های Mark-of-the-Web منجر می‌شود.

CVE-2024-21412 خود نوعی دور‌زدن برای آسیب‌پذیری دیگر Defender SmartScreen با ردیابی CVE-2023-36025 بود که به‌عنوان آسیب‌پذیری روز صفر برای استقرار بدافزار Phemedrone با سوء‌استفاده مواجه و در آپدیت‌های امنیتی نوامبر ۲۰۲۳ وصله شد.

از ابتدای سال، گروه هکری Water Hydra (با نام مستعار DarkCasino) که انگیزه مالی دارد، از CVE-2024-21412 برای هدف قراردادن کانال‌های تلگرام معاملات سهام و انجمن‌های معاملات فارکس با تروجان دسترسی از راه دور DarkMe در شب سال نو استفاده کرده است.

افزون‌براین، چایلدز در آوریل به BleepingComputer گفت که همین باند جرایم سایبری از CVE-2024-29988 (نقص دیگر SmartScreen و دورزدن CVE-2024-21412) در حملات بدافزار فوریه سوء‌استفاده کرده است.

همان‌طور‌که Elastic Security Labs کشف کرد، نوعی نقص طراحی در کنترل برنامه‌ی هوشمند ویندوز و SmartScreen که به مهاجمان اجازه می‌دهد برنامه‌ها را بدون فعال‌کردن هشدارهای امنیتی اجرا کنند، حداقل از سال ۲۰۱۸ در حملات متعدد با سوء‌استفاده روبه‌رو شده است. Elastic Security Labs این یافته‌ها را به مایکروسافت گزارش کرد و به آن‌ها گفته شد که مشکل مذکور ممکن است در به‌روزرسانی آینده‌ی ویندوز برطرف شود.

نوشته سوءاستفاده از نقص امنیتی SmartScreen از ماه مارس اولین بار در تک ناک - اخبار دنیای تکنولوژی. پدیدار شد.