2 月份修补的 Microsoft Defender SmartScreen 漏洞仍在全球范围内用于信息窃取攻击。
CVE-2024-21412 是 SmartScreen 中一个严重性为“高”的 CVSS 评分为 8.1 的安全绕过漏洞,于 2 月 13 日首次披露并修复。从那时起,它已被用于涉及 Lumma Stealer、Water Hydra 和 DarkGate 等知名信息窃取者的活动。
现在,五个月后,Fortinet 标记了另一个涉及另外两个偷窃者的活动:Meduza 和 ACR。到目前为止,袭击已经到达美国、西班牙和泰国。
有时,组织会花时间更新第三方软件。相比之下,“在这种情况下,攻击者正在利用 Microsoft Windows 上的原生软件,这些软件将在正常的 Microsoft 补丁周期内更新,”Fortinet 全球安全策略师兼研究员 Aamir Lakhani 指出。“当这些漏洞没有得到修补时,这有点不清楚和令人担忧,因为这可能表明还有其他Microsoft漏洞也没有得到修补。
CVE-2024-21412攻击链
如果您访问的网站或下载的文件或程序已知不安全,或者由于任何其他原因而可疑,SmartScreen 将介入并向您显示著名的蓝屏消息:“Windows 保护了您的电脑。这是一种简单、有效的方法,可以提醒用户注意潜在危险的网络威胁。
因此,请考虑一下,如果攻击者可以简单地禁用该通知,那么对他们有多大用处。这就是 CVE-2024-21412 允许他们做的事情。
在 Fortinet 确定的最新活动中,攻击者正在“通过结合 PowerShell 诡计和在图像中隐藏攻击并利用这些图像的处理方式”击败 SmartScreen,Lakhani 解释说。
首先,他们通过触发快捷方式 (LNK) 文件下载的 URL 引诱受害者。LNK 下载带有 HTML 应用程序 (HTA) 脚本的可执行文件,其中包含用于检索诱饵 PDF 文件和恶意代码注入器的 PowerShell 代码。
其中一个喷油器比另一个更有趣。在运行反调试检查后,它会下载一个 JPG 图像文件,然后使用 Windows API 访问其像素并解码其字节,其中隐藏着恶意代码。
“这些类型的基于图像的攻击已经存在了很长时间,虽然它们不像我们通常观察到的其他类型的攻击那样常见,但我们仍然看到它们随着时间的推移而出现,因为它们非常有效,”Lakhani指出。“看到这种攻击并不奇怪,特别是因为与其他攻击场景相比,[隐写术]检测经常被忽视。”
对未修补的后果
在这种情况下,通过图像文件走私进来的窃取者被植入合法的 Windows 进程中,此时数据的收集和泄露开始。
他们所针对的信息种类很广泛。例如,ACR 从数十种浏览器(Google Chrome、Firefox)、数十种加密钱包(Binance、Ledger Live)、信使应用程序(Telegram、WhatsApp)、密码管理器(Bitwarden、1Password)、虚拟专用网络 (VPN) 应用程序、电子邮件客户端、文件传输协议 (FTP) 客户端等中窃取。
只有远远落后于标准 Windows 补丁的组织才需要担心。不过,显然,这些组织就在那里。
Lakhani说:“我能理解小公司的个别软件更新可能会被遗漏,但大多数组织都会定期更新Microsoft软件补丁,而且这个特殊的漏洞仍然容易受到攻击。为了鼓励更好的补丁实践,他补充说,“我认为在所有情况下,软件供应商都需要向用户发出警报和通知,告知存在关键的安全补丁,并且应该在启动或使用软件时安装。
发表评论
您还未登录,请先登录。
登录