Ciberseguridad 360 | Nuevo bypass de Windows SmartScreen explotado como zero-day

Microsoft ha revelado ayer que una vulnerabilidad de elusi�n de seguridad de Mark of the Web explotada por atacantes como zero-day para eludir la protecci�n SmartScreen fue parcheada durante el martes de parches de junio de 2024.

SmartScreen es una funci�n de seguridad introducida con Windows 8 que protege a los usuarios contra software potencialmente malicioso al abrir archivos descargados etiquetados con la marca Mark of the Web (MotW).

Aunque la vulnerabilidad (rastreada como CVE-2024-38213) puede ser explotada de forma remota por agentes de amenazas no autenticados en ataques de baja complejidad, requiere la interacci�n del usuario, lo que dificulta su explotaci�n con �xito.

"Un atacante que explotara con �xito esta vulnerabilidad podr�a saltarse la experiencia de usuario de SmartScreen. Un atacante debe enviar al usuario un archivo malicioso y convencerle de que lo abra", explica Redmond en un aviso de seguridad publicado el martes.

A pesar de la mayor dificultad para explotarla, el investigador de seguridad de Trend Micro Peter Girnus descubri� que la vulnerabilidad estaba siendo explotada en marzo. Girnus inform� de los ataques a Microsoft, que parche� el fallo durante el martes de parches de junio de 2024. Sin embargo, la empresa olvid� incluir el aviso con las actualizaciones de seguridad de ese mes (o con las de julio).

"En marzo de 2024, el equipo de Caza de Amenazas de la Iniciativa D�a Cero de Trend Micro comenz� a analizar muestras relacionadas con la actividad llevada a cabo por los operadores de DarkGate para infectar a los usuarios mediante operaciones de copiar y pegar", declar� hoy a BleepingComputer Dustin Childs, Jefe de Concienciaci�n sobre Amenazas de ZDI.

"Esta campa�a de DarkGate era una actualizaci�n de una campa�a anterior en la que los operadores de DarkGate estaban explotando una vulnerabilidad de d�a cero, CVE-2024-21412, que revelamos a Microsoft a principios de este a�o."

Ataques de malware contra Windows SmartScreen

En los ataques de marzo, los operadores del malware DarkGate aprovecharon este desv�o de Windows SmartScreen (CVE-2024-21412) para desplegar cargas �tiles maliciosas camufladas como instaladores de Apple iTunes, Notion, NVIDIA y otros programas leg�timos.

Mientras investigaban la campa�a de marzo, los investigadores de Trend Micro tambi�n analizaron el abuso de SmartScreen en los ataques y c�mo se gestionaban los archivos de recursos compartidos WebDAV durante las operaciones de copiar y pegar.

"Como resultado, descubrimos y notificamos a Microsoft el CVE-2024-38213, que fue parcheado en junio. Este exploit, que hemos denominado copy2pwn, permite copiar localmente un archivo de WebDAV sin las protecciones Mark-of-the-Web", a�ade Childs.

CVE-2024-21412 era a su vez un bypass de otra vulnerabilidad de Defender SmartScreen rastreada como CVE-2023-36025, explotada como zero-day para desplegar el malware Phemedrone y parcheada durante el martes de parches de noviembre de 2023.

Desde principios de a�o, el grupo de piratas inform�ticos Water Hydra (tambi�n conocido como DarkCasino) tambi�n ha explotado CVE-2024-21412 para atacar canales de Telegram de compraventa de acciones y foros de compraventa de divisas con el troyano de acceso remoto (RAT) DarkMe en Nochevieja.

Childs tambi�n dijo a BleepingComputer en abril que la misma banda de ciberdelincuentes explot� CVE-2024-29988 (otro fallo de SmartScreen y un bypass de CVE-2024-21412) en ataques de malware en febrero.

Adem�s, como descubri� Elastic Security Labs, un defecto de dise�o en Windows Smart App Control y SmartScreen que permite a los atacantes lanzar programas sin activar advertencias de seguridad tambi�n ha sido explotado en ataques desde al menos 2018. Elastic Security Labs inform� de estos hallazgos a Microsoft y se le dijo que este problema "podr�a solucionarse" en una futura actualizaci�n de Windows.

Fuente: bleepingcomputer