Hoy, Microsoft reveló que una vulnerabilidad de omisión de seguridad de Mark of the Web explotada por los atacantes como una falla de día cero para eludir la protección SmartScreen se solucionó en el martes de parches de junio de 2024.
SmartScreen es una característica de seguridad introducida con Windows 8 que protege a los usuarios de software potencialmente malicioso al abrir archivos descargados con la etiqueta Mark of the Web (MotW).
Aunque la vulnerabilidad (identificada como CVE-2024-38213) puede ser explotada de forma remota por actores de amenazas no autenticados en ataques de baja complejidad, requiere la interacción del usuario, lo que hace que su explotación exitosa sea más difícil de lograr.
“Un atacante que aprovechara con éxito esta vulnerabilidad podría eludir la experiencia del usuario de SmartScreen. Un atacante debe enviar al usuario un archivo malicioso y convencerlo de que lo abra”, dijo Redmond. explicar en un aviso de seguridad publicado el martes.
A pesar de la creciente dificultad para explotarla, Peter Girnus, investigador de seguridad de Trend Micro, descubrió que la vulnerabilidad estaba siendo explotada en estado salvaje en marzo. Girnus informó de los ataques a Microsoft, que solucionó la falla el martes de parches de junio de 2024. Sin embargo, la compañía olvidó incluir la advertencia en las actualizaciones de seguridad de ese mes (o julio).
«En marzo de 2024, el equipo de búsqueda de amenazas de la Iniciativa Día Cero de Trend Micro comenzó a analizar muestras relacionadas con la actividad de los operadores DarkGate para infectar a los usuarios mediante operaciones de copiar y pegar», dijo hoy en BleepingComputer Dustin Childs, director de concienciación sobre amenazas de ZDI.
“Esta campaña de DarkGate fue una actualización de una campaña anterior en la que los operadores de DarkGate explotaron una vulnerabilidad de día cero, CVE-2024-21412, que revelamos a Microsoft a principios de este año. »
Windows SmartScreen abusado en ataques de malware
En los ataques de marzo, los operadores de malware DarkGate explotaron esta omisión de Windows SmartScreen (CVE-2024-21412) para implementar cargas maliciosas disfrazadas de instaladores de Apple iTunes, Notion, NVIDIA y otro software legítimo.
Durante su investigación sobre la campaña de marzo, los investigadores de Trend Micro también observaron el abuso de SmartScreen en los ataques y cómo se manejaron los archivos compartidos WebDAV durante las operaciones de copiar y pegar.
“Así descubrimos e informamos del fallo CVE-2024-38213 a Microsoft, que lo corrigió en junio. Este exploit, al que llamamos copy2pwn, da como resultado que un archivo de un WebDAV se copie localmente sin la protección de la Marca de la Web”, añadió Childs.
CVE-2024-21412 fue en sí misma una solución alternativa para otra vulnerabilidad de Defender SmartScreen rastreada como CVE-2023-36025, explotada como día cero para implementar malware Phemedrone y corregida el martes de parches en noviembre de 2023.
Desde principios de año, el grupo de hackers con motivación financiera Water Hydra (también conocido como DarkCasino) también ha explotado CVE-2024-21412 para atacar los canales de negociación de acciones de Telegram y los foros de negociación de Forex con el troyano de acceso remoto DarkMe (RAT) en la víspera de Año Nuevo. .
Childs también le dijo a BleepingComputer en abril que la misma banda de ciberdelincuentes aprovechó CVE-2024-29988 (otra falla de SmartScreen y una omisión de CVE-2024-21412) en ataques de malware en febrero.
Además, como descubrió Elastic Security Labs, una falla de diseño en Windows Smart App Control y SmartScreen que permite a los atacantes iniciar programas sin activar advertencias de seguridad también se ha aprovechado en ataques desde al menos 2018. Elastic Security Labs informó estos hallazgos a Microsoft y fue informado que este problema «puede solucionarse» en una futura actualización de Windows.
