Windows

本日、マイクロソフトは、SmartScreen保護をバイパスするゼロデイとして攻撃者に悪用されたMark of the Webセキュリティ・バイパスの脆弱性が、6月2024日のパッチ・チューズデイ中に修正されたことを明らかにした。

SmartScreenはWindows 8で導入されたセキュリティ機能で、Mark of the Web(MotW)ラベルの付いたダウンロードファイルを開く際に、悪意のある可能性のあるソフトウェアからユーザーを保護します。

この脆弱性(CVE-2024-38213として追跡されている)は、複雑度の低い攻撃では、認証されていない脅威行為者によってリモートから悪用される可能性があるものの、ユーザーとの対話が必要なため、悪用を成功させるのは難しくなっている。

「この脆弱性の悪用に成功した攻撃者は、SmartScreenのユーザーエクスペリエンスをバイパスすることができます。攻撃者は、ユーザーに悪意のあるファイルを送り、それを開くように仕向けなければなりません」と、レドモンド社は火曜日に発表したセキュリティ・アドバイザリーで説明している

この脆弱性の悪用が難しくなっているにもかかわらず、Trend Micro社のセキュリティ研究者であるPeter Girnus氏は、3月にこの脆弱性が悪用されていることを発見した。Girnus氏はこの攻撃をマイクロソフト社に報告し、マイクロソフト社は6月2024日のパッチ・チューズデーでこの欠陥を修正した。しかし、同社はその月のセキュリティ更新プログラム(または7月の更新プログラム)にアドバイザリを含めるのを忘れていた。

「2024年3月、トレンドマイクロのZero Day Initiative Threat Huntingチームは、DarkGateのオペレーターがコピー&ペースト操作によってユーザーを感染させるために行った活動に関連するサンプルの分析を開始した。

「このDarkGateのキャンペーンは、DarkGateのオペレータがゼロデイ脆弱性であるCVE-2024-21412を悪用していた以前のキャンペーンを更新したもので、私たちは今年初めにMicrosoftに開示しました。

マルウェア攻撃に悪用されたWindows SmartScreen

3月の攻撃では、DarkGateマルウェアの運営者は、このWindows SmartScreenのバイパス(CVE-2024-21412)を悪用して、Apple iTunes、Notion、NVIDIA、およびその他の正規ソフトウェアのインストーラに見せかけた不正なペイロードを展開していました。

トレンドマイクロの研究者は、3月のキャンペーンを調査する中で、攻撃におけるSmartScreenの悪用や、コピー&ペースト操作におけるWebDAV共有からのファイルの処理方法についても調査しました。

「その結果、我々はCVE-2024-38213を発見し、マイクロソフトに報告しました。私たちがcopy2pwnと名付けたこのエクスプロイトは、WebDAVからのファイルがMark-of-the-Webの保護なしにローカルにコピーされるというものです」とチャイルズは付け加えた。

CVE-2024-21412は、それ自体がCVE-2023-36025として追跡されている別のDefender SmartScreenの脆弱性のバイパスであり、Phemedroneマルウェアを展開するためにゼロデイとして悪用され、2023年11月のパッチ・チューズデイでパッチが適用された。

今年に入ってから、資金面で意欲的なWater Hydra(別名DarkCasino)ハッキング・グループは、大晦日にもCVE-2024-21412を悪用し、DarkMeリモート・アクセス・トロージャン(RAT)で株式取引のテレグラム・チャンネルとFX取引フォーラムを標的にしている。

チャイルズ氏は4月にも、同じサイバー犯罪集団が2月のマルウェア攻撃でCVE-2024-29988(SmartScreenの別の欠陥とCVE-2024-21412のバイパス)を悪用したと伝えている。

さらに、Elastic Security Labsが発見したように、攻撃者がセキュリティ警告をトリガーせずにプログラムを起動できるようにするWindows Smart App ControlとSmartScreenの設計上の欠陥も、少なくとも2018年以降の攻撃で悪用されている。Elastic Security Labsはこれらの発見をマイクロソフトに報告し、この問題は将来のWindowsアップデートで「修正される可能性がある」と伝えられた。