Bugün Microsoft, Web Güvenliği Bypass güvenlik açığının bir işaretinin, Salı günü 2024 tarihli Yama sırasında SmartScreen Koruması'nı atlamak için sıfır gün olarak kullanılan bir gün olarak kullanılmadığını açıkladı.
SmartScreen, Windows 8 ile birlikte, Web (MOTW) etiketinin işareti ile etiketlenen indirilen dosyaları açarken kullanıcıları potansiyel olarak kötü amaçlı yazılımlara karşı koruyan bir güvenlik özelliğidir.
Güvenlik açığı (CVE-2024-38213 olarak izlenir), düşük karmaşıklık saldırılarında kimlik doğrulanmamış tehdit aktörleri tarafından uzaktan sömürülebilirken, kullanıcı etkileşimi gerektirir, başarılı bir şekilde sömürülmeyi daha zor hale getirir.
Redmond Salı günü yayınlanan bir güvenlik danışmanında, "Bu güvenlik açığını başarıyla kullanan bir saldırgan, akıllı ekran kullanıcı deneyimini atlayabilir. Bir saldırgan kullanıcıya kötü niyetli bir dosya göndermeli ve onları açmaya ikna etmelidir."
Mikro güvenlik araştırmacısı Peter Girnus, bundan yararlanmada artan zorluğa rağmen, Mart ayında vahşi doğada kırılganlığın sömürüldüğünü keşfetti. Girnus, Salı günü Haziran 2024 yaması sırasında kusuru yamalayan Microsoft'a yapılan saldırıları bildirdi. Ancak şirket, o ayın güvenlik güncellemelerine (veya Temmuz'larla) danışmanlığı dahil etmeyi unuttu.
ZDI'nın tehdit farkındalığı başkanı Dustin Childs, BleepingComputer'a verdiği demeçte, "Mart 2024'te Trend Micro'nun Sıfır Gün Girişim Tehdit Av Ekibi, Darkgate operatörleri tarafından kopya ve yapıştır operasyonları yoluyla kullanıcıları enfekte etmek için yürütülen örnekleri analiz etmeye başladı."
"Bu Darkgate kampanyası, Darkgate operatörlerinin bu yılın başlarında Microsoft'a açıkladığımız sıfır gün güvenlik açığı olan CVE-2024-21412'den yararlandığı önceki bir kampanyadan bir güncelleme oldu."
Mart saldırılarında, Darkgate kötü amaçlı yazılım operatörleri, Apple iTunes, nosyon, nvidia ve diğer meşru yazılımlar için yükleyiciler olarak kamufle edilmiş kötü amaçlı yükler dağıtmak için bu Windows SmartScreen Bypass'tan (CVE-2024-21412) kullandı.
Trend Micro'nun araştırmacıları, Mart kampanyasını araştırırken, saldırılarda akıllı ekran kötüye kullanımı ve WebDAV hisselerinden gelen dosyaların kopya ve yapıştırma işlemleri sırasında nasıl ele alındığını incelediler.
"Sonuç olarak, Haziran ayında yamaladıkları Microsoft'a CVE-2024-38213'ü keşfettik ve bildirdik. Copy2pwn adını verdiğimiz bu istismar, bir WebDav'dan bir dosyanın işaretlenmesi olmadan yerel olarak kopyalanmasıyla sonuçlandı. Web Korumaları, "Childs ekledi.
CVE-2024-21412, CVE-2023-36025 olarak izlenen başka bir defans oyuncusu akıllı ekran güvenlik açığı için bir baypastı, Salı günü Kasım 2023 yaması boyunca Phemedrone kötü amaçlı yazılımları dağıtmak için sıfır gün olarak sömürüldü.
Yılın başlangıcından bu yana, finansal olarak motive olmuş Water Hydra (diğer adıyla Darkcasino) hackleme grubu, Yeni Yıl Arifesinde Darkme Remote Access Trojan (RAT) ile stok ticaret telgraf kanallarını ve forex ticaret forumlarını hedeflemek için CVE-2024-21412'yi de kullandı.
Childs ayrıca Nisan ayında BleepingComputer'a aynı siber suç çetesinin Şubat Malware saldırılarında CVE-2024-29988'den (başka bir akıllı ekran kusuru ve CVE-2024-21412 Bypass) sömürdüğünü söyledi.
Ayrıca, elastik güvenlik laboratuvarlarının keşfettiği gibi, Windows akıllı uygulama kontrolünde bir tasarım kusuru ve saldırganların güvenlik uyarılarını tetiklemeden programlar başlatmalarını sağlayan bir tasarım kusuru da en az 2018'den beri saldırılarda kullanıldı. Elastik güvenlik laboratuvarları bu bulguları Microsoft'a bildirdi ve söylendi. Bu sorun gelecekteki bir Windows güncellemesinde "düzeltilebilir".
Microsoft Ağustos 2024 Patch Salı 9 sıfır gün, 6 sömürü düzeltiyor
Windows MSHTML Sıfır Yazma Saldırılarında Bir Yıldan Boy Kullanılan Sıfır Gün
Windows Update Downgrade Saldırı "Uncatches" tam güncellenmiş sistemler
Windows Smart App Control, SmartScreen Bypass 2018'den beri sömürüldü
Microsoft Temmuz 2024 Patch Salı 142 Kusur, 4 Sıfır Gün
Kaynak: Bleeping Computer