Microsoft opravil další „zero-day“ chybu, kterou útočníci využívali k nasazování ransomwaru Magniber, aniž by to vyvolalo varování cloudové antimalwarové služby Windows SmartScreen. O vydání záplaty informuje internetový magazín Bleeping Computer.
Útočníci ke zneužití této chyby a obcházení bezpečnostních funkcí používali škodlivé instalační balíčky MSI podepsané speciálně vytvořeným podpisem Authenticode. Ačkoli je podpis neplatný, stačil k tomu, aby oklamal nástroj SmartScreen a zabránil zobrazení bezpečnostního varování.
Bezpečnostní díra ve Windows
Bezpečnostní díra je evidována jako CVE-2023-24880 „Zranitelnost obcházení funkce zabezpečení Windows SmartScreen“ a Microsoft ji hodnotí jako středně závažnou. V tuto chvíli k ní nebyly oficiálně publikovány žádné podrobnosti; lze předpokládat, že se tak stane po rozšíření záplat na dostatečný počet zařízení.
Aktivně zneužívanou bezpečnostní trhlinu objevila skupina Google Threat Analysis Group (TAG), která se zabývá ochranou před hrozbami způsobenými státem podporovanými útoky malwarem a dalšími pokročilými hrozbami. 15. února ji nahlásila společnosti Microsoft.
„Od ledna 2023 jsme zaznamenali více než 100 000 stažení škodlivých souborů MSI, přičemž více než 80 % z nich si stáhli uživatelé v Evropě, což je pozoruhodná odchylka od typického cílení ransomwaru Magniber, který se obvykle zaměřuje na Jižní Koreu a Tchaj-wan,“ uvádí Google TAG.
Ransomware Magniber je aktivní přinejmenším od října 2017. Odborníky je považován za nástupce ransomwaru Cerber, jehož škodlivé soubory byly šířeny prostřednictvím malvertisingu s využitím sady Magnitude Exploit Kit. Ačkoli se za ním stojící útočníci původně zaměřovali na Jižní Koreu, nyní rozšířili útoky na celý svět a zacílili na další země, včetně Číny, Tchaj-wanu, Malajsie, Hongkongu, Singapuru a Evropy.
Microsoft nezalepil díru pořádně
Bezpečnostní díra CVE-2023-24880 je dalším zjištěným způsobem obcházení bezpečnostní funkce Windows SmartScreen. Předchozí trhlina, evidovaná jako CVE-2022-44698, byla rovněž zneužívána jako „zero-day“ k útokům škodlivým softwarem prostřednictvím javascriptových souborů.
Microsoft opravil chybu CVE-2022-44698 během prosincového záplatovacího úterý poté, co byla několik měsíců zneužívána k infekcím malwarem Qbot a ransomwarem Magniber. Je známo, že s Qbotem spolupracovaly i další ransomwarové operace, jako například Egregor, Prolock a Black Basta, aby získaly přístup do podnikových sítí.
Jak vysvětlili experti z Google TAG, chyba CVE-2023-24880 byla možná proto, že Microsoft vydal na starší chybu pouze částečnou záplatu, která opravovala jen jeden aspekt problému, místo aby opravila jeho hlavní příčinu. „Protože nebyla řešena základní příčina, která stála za obcházením zabezpečení SmartScreen, mohli útočníci rychle využít jinou variantu původní chyby.“
