New Windows SmartScreen bypass exploited as zero-day since March
2024/08/13 BleepingComputer — 今日になって Microsoft が明らかにしたのは、SmartScreen 保護をバイパスするゼロデイとして攻撃者に悪用された、Mark of the Web セキュリティ・バイパスの脆弱性が、2024日6月の Patch Tuesday で修正されたことだ。Windows 8で導入されたセキュリティ機能 SmartScreen は、Mark of the Web (MotW) ラベルの付いたダウンロード・ファイルを開く際に、悪意の可能性のあるソフトウェアからユーザーを保護するものだ。
この脆弱性 CVE-2024-38213 は、複雑度の低い攻撃を可能にするものであり、未認証の脅威アクターによりリモートから悪用される可能性があるが、ユーザーとの対話が必要なため、悪用を成功させるのは困難ともされる。
8月12日 (火) に Microsoft が発表したセキュリティ・アドバイザリには、「この脆弱性の悪用に成功した攻撃者は、SmartScreen のユーザー・エクスペリエンスをバイパスできる。ただし攻撃者は、悪用を成功させる脆弱性、ユーザーに対して悪意のファイルを送り、それを開くように仕向ける必要がある」と記されている。
この脆弱性の悪用は困難とされているが、2024年3月の時点で Trend Micro のセキュリティ研究者である Peter Girnus は、この脆弱性が悪用されていることを発見している。この問題が Microsoft に報告されたことで、2024日6月の Patch Tuesday での修正が実現した。しかし Microsoft は、このセキュリティ更新プログラムに、アドバイザリを付け加えるのを忘れていた。
今日になって ZDI の Head of Threat Awareness である Dustin Childs は、「2024年3月の時点で当社は、DarkGate のオペレーターが仕掛けた、コピー&ペースト操作によりユーザーを感染させるアクティビティ・サンプルの分析を開始した。このキャンペーンは、DarkGate のオペレーターがゼロデイ脆弱性 CVE-2024-21412 を悪用するという、以前のキャンペーンを更新したものである。今年の初めに、当社から Microsoft に対して、この件は開示されている」と、BleepingComputer に語っている。
マルウェア攻撃に悪用される Windows SmartScreen
2024年3月の攻撃で DarkGate マルウェアのオペレーターは、この Windows SmartScreen バイパスの脆弱性 CVE-2024-21412 を悪用し、Apple iTunes/Notion/NVIDIA などの正規ソフトウェアのインストーラに見せかけた、不正なペイロードを展開していた。
Trend Micro の研究者たちは、2024年3月のキャンペーンを調査する中で、一連の攻撃における SmartScreen の悪用や、コピー&ペースト操作を介した WebDAV 共有からのファイルの処理方法についても調査した。
Dustin Childs は、「その結果として脆弱性 CVE-2024-38213 が発見され、Microsoft に対する報告も行われた。私たちが copy2pwn と名付けたエクスプロイトは、Mark-of-the-Web 保護をバイパスするかたちで、WebDAV からのファイルのローカル・ピーを許してしまうものだ」と付け加えている。
脆弱性 CVE-2024-21412 について説明すると、以前に CVE-2023-36025 として追跡されていた、別の Defender SmartScreen の脆弱性のバイパスであり、Phemedrone マルウェアを展開するためにゼロデイとして悪用されたものだ。そのため、2023年11月の Patch Tuesday で修正されていた。
その後に、資金面で潤沢な Water Hydra (別名 DarkCasino) ハッキング・グループが、Telegram の株式取引/FX 取引のフォーラムを標的にするために、脆弱性 CVE-2024-21412 を悪用して DarkMe RAT を展開している。また、2024年2月のマルウェア攻撃でも、CVE-2024-29988/CVE-2024-21412 が悪用されたと、4月の時点で Dustin Childs は BleepingComputer に語っている。
さらに、Elastic Security Labs が発見したように、攻撃者がセキュリティ警告をトリガーせずにプログラムを起動できるようにする、Windows Smart App Control と SmartScreenの設計上の欠陥も、遅くとも 2018年以降の攻撃で悪用されている。これらの発見について、Elastic Security Labs は Microsoft に報告したが、将来の Windows アップデートで修正される可能性があると伝えられたという。
この脆弱性 CVE-2024-38213 について時系列を整理すると、2024年3月の攻撃で悪用 → Trend Micro が発見 → Microsoft に報告 → 2024年6月に Patch Tuesday で対応 → だけどアドバイザリを忘れる → 2024年8月の Patch Tuesday で文書化・・・という流れのようです。この記事がポストされた直後ですが、Trend Micro は、この脆弱性に Copy2Pwn という名前を付けていて、こだわりを示しています。よろしければ SmartScreen で検索も、ご利用ください。ちょっと、問題が多い感じがしますね。
IoT OT Security News 
You must be logged in to post a comment.