Aujourd’hui, Microsoft a révélé qu’une marque de la vulnérabilité de contournement de la sécurité Web exploitée par les attaquants comme un jour zéro pour contourner la protection SmartScreen a été corrigée lors du Patch Tuesday de juin 2024.
SmartScreen est une fonctionnalité de sécurité introduite avec Windows 8 qui protège les utilisateurs contre les logiciels potentiellement malveillants lors de l’ouverture de fichiers téléchargés étiquetés avec une étiquette Mark of the Web (MotW).
Bien que la vulnérabilité (identifiée comme CVE-2024-38213) puisse être exploitée à distance par des acteurs de la menace non authentifiés dans des attaques de faible complexité, elle nécessite une interaction de l’utilisateur, ce qui rend l’exploitation réussie plus difficile à réaliser.
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait contourner l’expérience utilisateur SmartScreen. Un attaquant doit envoyer à l’utilisateur un fichier malveillant et le convaincre de l’ouvrir », explique Redmond dans un avis de sécurité publié mardi.
Malgré la difficulté accrue de l’exploiter, Peter Girnus, chercheur en sécurité chez Trend Micro, a découvert que la vulnérabilité était exploitée à l’état sauvage en mars. Girnus a signalé les attaques à Microsoft,qui a corrigé la faille lors du Patch Tuesday de juin 2024. Cependant, l’entreprise a oublié d’inclure l’avis avec les mises à jour de sécurité de ce mois (ou avec celles de juillet).
« En mars 2024, l’équipe de chasse aux menaces Zero Day Initiative de Trend Micro a commencé à analyser des échantillons liés à l’activité menée par les opérateurs de DarkGate pour infecter les utilisateurs via des opérations de copier-coller », a déclaré Dustin Childs, responsable de la sensibilisation aux menaces chez ZDI, à Breachtrace today.
« Cette campagne DarkGate était une mise à jour d’une campagne précédente dans laquelle les opérateurs de DarkGate exploitaient une vulnérabilité zero-day, CVE-2024-21412, que nous avons divulguée à Microsoft plus tôt cette année. »
Windows SmartScreen abusé dans les attaques de logiciels malveillants
Lors des attaques de mars, les opérateurs de logiciels malveillants DarkGate ont exploité ce contournement de Windows SmartScreen (CVE-2024-21412) pour déployer des charges utiles malveillantes camouflées en installateurs pour Apple iTunes, Notion, NVIDIA et d’autres logiciels légitimes.
Tout en enquêtant sur la campagne de mars, les chercheurs de Trend Micro se sont également penchés sur l’abus de SmartScreen dans les attaques et sur la manière dont les fichiers des partages WebDAV étaient traités lors des opérations de copier-coller.
« En conséquence, nous avons découvert et signalé CVE-2024-38213 à Microsoft, qu’ils ont corrigé en juin. Cet exploit, que nous avons nommé copy2pwn, entraîne la copie locale d’un fichier d’un WebDAV sans protections de marque du Web », a ajouté Childs.
CVE-2024-21412 était lui-même un contournement pour une autre vulnérabilité Defender SmartScreen identifiée comme CVE-2023-36025, exploitée comme un jour zéro pour déployer le malware Phemedrone et corrigée lors du Patch Tuesday de novembre 2023.
Depuis le début de l’année, le groupe de piratage informatique Water Hydra (alias DarkCasino) à motivation financière a également exploité CVE-2024-21412 pour cibler les canaux Telegram de négociation d’actions et les forums de trading forex avec le cheval de Troie d’accès à distance DarkMe (RAT) le soir du Nouvel An.
Childs a également déclaré à Breachtrace en avril que le même gang de cybercriminels avait exploité CVE-2024-29988 (une autre faille SmartScreen et un contournement CVE-2024-21412) lors d’attaques de logiciels malveillants en février.
De plus, comme l’ont découvert Elastic Security Labs, une faille de conception dans Windows Smart App Control et SmartScreen permettant aux attaquants de lancer des programmes sans déclencher d’avertissements de sécurité a également été exploitée dans des attaques depuis au moins 2018. Elastic Security Labs a signalé ces résultats à Microsoft et a été informé que ce problème « pourrait être résolu » dans une future mise à jour de Windows.