安全客 2024年07月25日
网络攻击者在窃取活动中利用 Microsoft SmartScreen 漏洞
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

微软Defender SmartScreen中的一个高危漏洞CVE-2024-21412,自2月修复以来,持续被黑客利用进行信息窃取攻击。Fortinet发现,除了之前已知的恶意软件外,又有新的窃取软件Meduza和ACR加入攻击行列,影响已扩散至美国、西班牙和泰国。

🔍CVE-2024-21412是SmartScreen的高危安全绕过漏洞,CVSS评分8.1,2月13日披露并修复,但攻击活动并未停止。

🦠Lumma Stealer、Water Hydra和DarkGate等信息窃取者利用此漏洞,近期Meduza和ACR也加入攻击。

🌍攻击已波及美国、西班牙和泰国,显示漏洞利用的全球化。

🔒攻击者通过PowerShell诡计和在图像中隐藏恶意代码来绕过SmartScreen保护。

🖼️特别的是,攻击者使用Windows API访问图像像素解码恶意代码,这种基于图像的攻击虽不常见但非常有效。

🚨未修补该漏洞的组织面临数据泄露风险,ACR等窃取者针对多种软件进行信息窃取。

2 月份修补的 Microsoft Defender SmartScreen 漏洞仍在全球范围内用于信息窃取攻击。CVE-2024-21412 是 SmartScreen 中一个严重性为“高”的 CVSS 评分为 8.1 的安全绕过漏洞,于 2 月 13 日首次披露并修复。从那时起,它已被用于涉及 Lumma Stealer、Water Hydra 和 DarkGate 等知名信息窃取者的活动。现在,五个月后,Fortinet 标记了另一个涉及另外两个偷窃者的活动:Meduza 和 ACR。到目前为止,袭击已经到达美国、西班牙和泰国。有时,组织会花时间更新第三方软件。相比之下,“在这种情况下,攻击者正在利用 Microsoft Windows 上的原生软件,这些软件将在正常的 Microsoft 补丁周期内更新,”Fortinet 全球安全策略师兼研究员 Aamir Lakhani 指出。“当这些漏洞没有得到修补时,这有点不清楚和令人担忧,因为这可能表明还有其他Microsoft漏洞也没有得到修补。CVE-2024-21412攻击链如果您访问的网站或下载的文件或程序已知不安全,或者由于任何其他原因而可疑,SmartScreen 将介入并向您显示著名的蓝屏消息:“Windows 保护了您的电脑。这是一种简单、有效的方法,可以提醒用户注意潜在危险的网络威胁。因此,请考虑一下,如果攻击者可以简单地禁用该通知,那么对他们有多大用处。这就是 CVE-2024-21412 允许他们做的事情。在 Fortinet 确定的最新活动中,攻击者正在“通过结合 PowerShell 诡计和在图像中隐藏攻击并利用这些图像的处理方式”击败 SmartScreen,Lakhani 解释说。首先,他们通过触发快捷方式 (LNK) 文件下载的 URL 引诱受害者。LNK 下载带有 HTML 应用程序 (HTA) 脚本的可执行文件,其中包含用于检索诱饵 PDF 文件和恶意代码注入器的 PowerShell 代码。其中一个喷油器比另一个更有趣。在运行反调试检查后,它会下载一个 JPG 图像文件,然后使用 Windows API 访问其像素并解码其字节,其中隐藏着恶意代码。“这些类型的基于图像的攻击已经存在了很长时间,虽然它们不像我们通常观察到的其他类型的攻击那样常见,但我们仍然看到它们随着时间的推移而出现,因为它们非常有效,”Lakhani指出。“看到这种攻击并不奇怪,特别是因为与其他攻击场景相比,[隐写术]检测经常被忽视。”对未修补的后果在这种情况下,通过图像文件走私进来的窃取者被植入合法的 Windows 进程中,此时数据的收集和泄露开始。他们所针对的信息种类很广泛。例如,ACR 从数十种浏览器(Google Chrome、Firefox)、数十种加密钱包(Binance、Ledger Live)、信使应用程序(Telegram、WhatsApp)、密码管理器(Bitwarden、1Password)、虚拟专用网络 (VPN) 应用程序、电子邮件客户端、文件传输协议 (FTP) 客户端等中窃取。只有远远落后于标准 Windows 补丁的组织才需要担心。不过,显然,这些组织就在那里。Lakhani说:“我能理解小公司的个别软件更新可能会被遗漏,但大多数组织都会定期更新Microsoft软件补丁,而且这个特殊的漏洞仍然容易受到攻击。为了鼓励更好的补丁实践,他补充说,“我认为在所有情况下,软件供应商都需要向用户发出警报和通知,告知存在关键的安全补丁,并且应该在启动或使用软件时安装。

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

微软Defender SmartScreen CVE-2024-21412 信息窃取攻击 网络安全 漏洞利用
相关文章