ช่องโหว่ใหม่ของ Windows SmartScreen ถูกใช้เป็นช่องโหว่ zero-day ตั้งแต่เดือนมีนาคม

เมื่อวันที่ 13 สิงหาคม 2024 ที่ผ่านมา Microsoft เปิดเผยว่าช่องโหว่ Mark of the Web security bypass ซึ่งผู้โจมตีใช้ประโยชน์เพื่อ bypass SmartScreen protection ได้รับการแก้ไขไปแล้วในช่วง Patch Tuesday เดือนมิถุนายน 2024

SmartScreen เป็นฟีเจอร์ความปลอดภัยที่เปิดตัวพร้อมกับ Windows 8 ซึ่งปกป้องผู้ใช้งานจากซอฟต์แวร์ที่อาจเป็นอันตรายเมื่อเปิดไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ต ซึ่งจะถูกแท็กด้วย Mark of the Web (MotW) label

แม้ว่าช่องโหว่ CVE-2024-38213 จะสามารถถูกโจมตีจากระยะไกลได้โดยที่ผู้โจมตีไม่จำเป็นต้องผ่านการยืนยันตัวตน แต่ก็ยังจำเป็นต้องมีการโต้ตอบจากผู้ใช้ ซึ่งทำให้การโจมตีสำเร็จยากขึ้น

โดย Microsoft ระบุว่า "ผู้โจมตีที่สามารถโจมตีโดยใช้ช่องโหว่นี้ได้สำเร็จ จะสามารถ bypass SmartScreen protection ของผู้ใช้ได้ โดยผู้โจมตีจะต้องส่งไฟล์ที่เป็นอันตรายให้กับผู้ใช้ และโน้มน้าวให้ผู้ใช้งานเปิดไฟล์ดังกล่าว"

แม้ว่าการใช้ช่องโหว่จะยากขึ้น แต่ Peter Girnus นักวิจัยด้านความปลอดภัยของ Trend Micro พบว่าช่องโหว่นี้ถูกใช้ในการโจมตีจริงในเดือนมีนาคม 2024 โดย Girnus รายงานการโจมตีเหล่านี้ไปยัง Microsoft ซึ่งได้แก้ไขช่องโหว่ไปแล้วในช่วง Patch Tuesday เดือนมิถุนายน 2024 อย่างไรก็ตาม Microsoft ลืมใส่คำอธิบายเพิ่มเติมเกี่ยวกับช่องโหว่ในการอัปเดตความปลอดภัยของเดือนนั้น

Dustin Childs - Head of Threat Awareness ของ ZDI ให้ข้อมูลกับ BleepingComputer ว่า "ในเดือนมีนาคม 2024 ทีม Zero Day Initiative Threat Hunting ของ Trend Micro เริ่มวิเคราะห์ตัวอย่างที่เชื่อมโยงกับปฏิบัติการของกลุ่ม DarkGate เพื่อแพร่กระจายมัลแวร์กับผู้ใช้งาน"

"แคมเปญของ DarkGate นี้เป็นการอัปเดตจากแคมเปญก่อนหน้านี้ ซึ่งกลุ่ม DarkGate ได้ใช้ประโยชน์จากช่องโหว่แบบ zero-day CVE-2024-21412 ซึ่ง Trend Micro ได้เปิดเผยข้อมูลดังกล่าวให้ Microsoft ทราบไปแล้วเมื่อต้นปีที่ผ่านมา"

Windows SmartScreen ถูกโจมตีโดยมัลแวร์

การโจมตีในเดือนมีนาคม 2024 กลุ่ม DarkGate ได้ใช้ประโยชน์จากการ bypass Windows SmartScreen (CVE-2024-21412) เพื่อใช้งาน payloads ที่เป็นอันตราย ซึ่งจะแฝงตัวเป็นตัวติดตั้งสำหรับ Apple iTunes, Notion, NVIDIA และซอฟต์แวร์ที่ถูกกฎหมายอื่น ๆ

ขณะทำการตรวจสอบแคมเปญการโจมตีในเดือนมีนาคม นักวิจัยของ Trend Micro ยังได้ตรวจสอบการโจมตีที่เกี่ยวกับ SmartScreen และวิธีการจัดการไฟล์จาก WebDAV shares ระหว่างการ copy และ paste

Childs ระบุเพิ่มเติมว่า "จากผลดังกล่าวนักวิจัยได้ค้นพบ และรายงานช่องโหว่ CVE-2024-38213 ให้กับ Microsoft ทราบ ซึ่งทาง Microsoft ได้แก้ไขช่องโหว่นี้ในเดือนมิถุนายน 2024 โดยช่องโหว่นี้ Trend Micro ตั้งชื่อว่า copy2pwn ส่งผลให้ไฟล์จาก WebDAV ถูกคัดลอกไปยังเครื่องได้โดยไม่มีการป้องกันจาก Mark-of-the-Web"

CVE-2024-21412 เองก็เป็นการ bypass Defender SmartScreen อื่น ที่มีหมายเลข CVE-2023-36025 ซึ่งถูกใช้เป็นช่องโหว่ zero-day ในการติดตั้งมัลแวร์ Phemedrone และได้รับการแก้ไขแล้วในช่วง Patch Tuesday เดือนพฤศจิกายน 2023

ตั้งแต่ต้นปี กลุ่มแฮ็กเกอร์ที่มีแรงจูงใจทางด้านการเงิน Water Hydra (หรือที่รู้จักกันในชื่อ DarkCasino) ก็ใช้ประโยชน์จากช่องโหว่ CVE-2024-21412 เพื่อโจมตีช่องทางการซื้อขายหุ้นบน Telegram และฟอรัมการซื้อขายฟอเร็กซ์ด้วยโทรจัน (RAT) DarkMe ในคืนวันส่งท้ายปีเก่า

Childs ยังให้ข้อมูลเพิ่มเติมกับ BleepingComputer ว่า ในเดือนเมษายน 2024 กลุ่มเดียวกันนี้ได้ใช้ CVE-2024-29988 (ช่องโหว่ของ SmartScreen อีกตัว และ CVE-2024-21412) ในการโจมตีด้วยมัลแวร์ในเดือนกุมภาพันธ์ 2024

นอกจากนี้ Elastic Security Labs ยังค้นพบช่องโหว่ในการออกแบบใน Windows Smart App Control และ SmartScreen ที่ทำให้ผู้โจมตีสามารถเริ่มโปรแกรมได้โดยไม่ทำให้เกิดการแจ้งเตือนด้านความปลอดภัย ซึ่งได้ถูกใช้ในการโจมตีมาตั้งแต่ปี 2018 โดย Elastic Security Labs รายงานผลการค้นพบเหล่านี้ให้กับ Microsoft และได้รับการระบุว่าปัญหานี้ "อาจได้รับการแก้ไข" ในการอัปเดตของ Windows ในอนาคต

 

ที่มา :bleepingcomputer.