Microsoft ha risolto una vulnerabilità che permetteva di evitare le protezioni SmartScreen
Microsoft ha rivelato che un bypass di sicurezza Mark of the Web (MotW) è stato utilizzato come zero-day per evitare le protezioni SmartScreen. Questa vulnerabilità è stata risolta durante il Patch Tuesday di giugno 2024.
Funzionamento del bypass
SmartScreen è una funzione di sicurezza introdotta con Windows 8 che protegge gli utenti contro software potenzialmente malevolo quando si apre file scaricati con un etichettato Mark of the Web (MotW). Tuttavia, questa vulnerabilità (tracciata come CVE-2024-38213) può essere sfruttata a distanza da attaccanti non autenticati in attacchi di bassa complessità, ma richiede l’interazione dell’utente, rendendo l’exploit più difficile da realizzare.
Sfruttamento della vulnerabilità
Il bypass è stato scoperto e sfruttato da Peter Girnus, un ricercatore di Trend Micro, che ha segnalato gli attacchi a Microsoft. Questi attacchi sono stati utilizzati per distribuire malware mascherato come installatori per software legittimo come Apple iTunes, Notion, NVIDIA e altri. I malware utilizzati includono DarkGate e DarkMe.
Campagne di attacco
Durante il mese di marzo 2024, gli operatori del malware DarkGate hanno sfruttato questa vulnerabilità per distribuire payload malici mascherati come installatori per software legittimo. Questi payload sono stati distribuiti attraverso operazioni di copia e incolla, utilizzando file da condivisioni WebDAV. Microsoft ha risolto la vulnerabilità durante il Patch Tuesday di giugno 2024, ma ha dimenticato di includere l’avviso di sicurezza con le aggiornamenti di giugno o luglio.
Altri bypass
Un’altra vulnerabilità di SmartScreen, tracciata come CVE-2024-21412, è stata sfruttata per distribuire il malware Phemedrone e risolta durante il Patch Tuesday di novembre 2023. Questa vulnerabilità è stata utilizzata anche dal gruppo Water Hydra per attacchi mirati ai mercati finanziari.
Consigli per la sicurezza
- Aggiornamenti di sicurezza: Assicurarsi di applicare gli aggiornamenti di sicurezza forniti da Microsoft.
- Sicurezza delle condivisioni WebDAV: Controllare le condivisioni WebDAV per evitare l’accesso non autorizzato.
- Sicurezza delle interazioni utente: Insegnare agli utenti a non aprire file scaricati da sorgenti sconosciute.
- Utilizzo di antivirus: Utilizzare un antivirus affidabile per proteggere i sistemi da malware.
Suggerimenti e consigli
- Aggiornamenti di sicurezza: Assicurarsi di applicare gli aggiornamenti di sicurezza forniti da Microsoft.
- Sicurezza delle condivisioni WebDAV: Controllare le condivisioni WebDAV per evitare l’accesso non autorizzato.
- Sicurezza delle interazioni utente: Insegnare agli utenti a non aprire file scaricati da sorgenti sconosciute.
- Utilizzo di antivirus: Utilizzare un antivirus affidabile per proteggere i sistemi da malware.
Il bypass di SmartScreen è stato utilizzato come zero-day dal marzo 2024 e risolto durante il Patch Tuesday di giugno 2024. Gli utenti devono essere consapevoli delle minacce di sicurezza e applicare gli aggiornamenti di sicurezza per proteggere i loro sistemi.
