Vandaag heeft Microsoft onthuld dat een Mark of the Web-beveilingsomzeilingslek, door aanvallers geëxploiteerd als een zero-day om SmartScreen-bescherming te omzeilen, is gepatcht tijdens Patch Tuesday van juni 2024.

SmartScreen is een beveiligingsfunctie geïntroduceerd met Windows 8 die gebruikers beschermt tegen mogelijk schadelijke software bij het openen van gedownloade bestanden die zijn gemarkeerd met een Mark of the Web (MotW)-label.

Hoewel de kwetsbaarheid (bekend als CVE-2024-38213) op afstand kan worden misbruikt door niet-geverifieerde dreigingsacteurs in laag-complexe aanvallen, vereist het gebruikersinteractie, wat het moeilijker maakt om exploitatie te laten slagen.

“Een aanvaller die deze kwetsbaarheid met succes exploiteert, kan de SmartScreen-gebruikerservaring omzeilen. Een aanvaller moet de gebruiker een kwaadwillig bestand sturen en hen overtuigen het te openen,” legt Redmond uit in een beveiligingsadvies dat dinsdag is gepubliceerd.

Ondanks de verhoogde moeilijkheid bij exploitatie, ontdekte Trend Micro-beveiligingsonderzoeker Peter Girnus dat de kwetsbaarheid in het wild werd misbruikt in maart. Girnus rapporteerde de aanvallen aan Microsoft, die het lek tijdens Patch Tuesday van juni 2024 patchte. Het bedrijf vergat echter het advies bij de beveiligingsupdates van die maand (of die van juli) op te nemen.

“In maart 2024 begon het Threat Hunting-team van Trend Micro’s Zero Day Initiative monsters te analyseren die verband hielden met de activiteiten uitgevoerd door DarkGate-operators om gebruikers te infecteren via kopieer-en-plakoperaties,” vertelde ZDI’s hoofd van Threat Awareness Dustin Childs vandaag aan BleepingComputer.

“Deze DarkGate-campagne was een update van een eerdere campagne waarin de DarkGate-operators een zero-day kwetsbaarheid exploiteerden, CVE-2024-21412, die we eerder dit jaar aan Microsoft hebben gemeld.”

Windows SmartScreen misbruikt in malware-aanvallen

In de maart-aanvallen exploiteerden de DarkGate-malware-operators deze Windows SmartScreen-bypass (CVE-2024-21412) om kwaadwillige payloads te implementeren die vermomd waren als installateurs voor Apple iTunes, Notion, NVIDIA en andere legitieme software.

Tijdens het onderzoek naar de maart-campagne keken onderzoekers van Trend Micro ook naar misbruik van SmartScreen in aanvallen en hoe bestanden van WebDAV-shares werden behandeld tijdens kopieer-en-plakoperaties.

“Als resultaat ontdekten en rapporteerden we CVE-2024-38213 aan Microsoft, die ze in juni patchten. Deze exploit, die we copy2pwn hebben genoemd, resulteert in een bestand van een WebDAV dat lokaal wordt gekopieerd zonder Mark-of-the-Web-bescherming,” voegde Childs toe.

CVE-2024-21412 was zelf een omzeiling voor een andere Defender SmartScreen-kwetsbaarheid bekend als CVE-2023-36025, geëxploiteerd als een zero-day om Phemedrone-malware te implementeren en gepatcht tijdens Patch Tuesday van november 2023.

Vanaf het begin van het jaar heeft de financieel gemotiveerde Water Hydra (ook bekend als DarkCasino) hackgroep ook CVE-2024-21412 geëxploiteerd om Telegram-kanalen voor aandelenhandel en forex trading-forums te targeten met de DarkMe remote access trojan (RAT) op oudejaarsavond.

Childs vertelde ook in april aan BleepingComputer dat dezelfde cybercrime-bende CVE-2024-29988 (nog een SmartScreen-lek en een CVE-2024-21412-omzeiling) in februari in malware-aanvallen heeft geëxploiteerd.

Bovendien, zoals Elastic Security Labs ontdekte, is er een ontwerpfout in Windows Smart App Control en SmartScreen waardoor aanvallers programma’s kunnen starten zonder beveiligingswaarschuwingen te activeren, die ook sinds minstens 2018 in aanvallen wordt misbruikt. Elastic Security Labs rapporteerde deze bevindingen aan Microsoft en werd verteld dat dit probleem “mogelijk wordt opgelost” in een toekomstige Windows-update.