Microsoft je obradio kritičnu ranjivost nultog dana koja utiče na njegove sigurnosne funkcije Windows Smart App Control (SAC) i SmartScreen.
Ova ranjivost je ispravljena u Microsoftovoj zakrpi iz septembra 2024. u utorak , koja je obradila značajan broj sigurnosnih propusta, uključujući četiri eksploatacije nultog dana i 79 ranjivosti u različitim proizvodima.
Ovu ranjivost, identifikovanu kao CVE-2024-38217 , aktivno iskorištavaju hakeri od 2018. godine, naglašavajući stalne izazove u održavanju robusne zaštite sajber bezbjednosti.
Ranjivost, klasifikovana kao “Zaobilaženje sigurnosnih karakteristika”, omogućava napadačima da izbjegnu zaštitu oznake Weba (MOTW). MOTW je sigurnosni mehanizam dizajniran za označavanje datoteka preuzetih s interneta, što zahtijeva dodatne sigurnosne provjere. Zaobilazeći ove provjere, napadači mogu izvršiti zlonamjerni kod na sistemu žrtve uz minimalne smetnje.
Detalji eksploatacije
Istraživači kibernetičke sigurnosti u Elastic Security Labs otkrili su da napadači koriste sofisticirane tehnike da zaobiđu SAC i SmartScreen odbranu. Ove metode uključuju:
- Seeding : Napadači prikrivaju zlonamjerni softver u benigne binarne datoteke, koje kasnije aktiviraju zlonamjerni kod. Ova tehnika iskorištava ranjivost SAC-a na osnovne taktike protiv emulacije.
- Narušavanje reputacije : Manipulirajući reputacijom datoteka, napadači mogu održati pouzdan status za kompromitovane datoteke. Ovo je moguće zbog oslanjanja SAC-a na nejasno heširanje ili poređenje sličnosti zasnovano na mašinskom učenju.
- MOTW zaobilaženja : Posebno izrađene LNK datoteke mogu ukloniti MOTW oznake prije sigurnosnih provjera, omogućavajući izvršenje zlonamjernog koda. Ova tehnika uključuje manipulisanje putanjama datoteka kako bi se izbjeglo otkrivanje.
“Napadač može izraditi zlonamjerni fajl koji bi izbjegao odbranu Mark of the Web (MOTW), što rezultira ograničenim gubitkom integriteta i dostupnosti sigurnosnih funkcija kao što je sigurnosna provjera reputacije aplikacije SmartScreen i/ili naslijeđeni sigurnosni prompt Windows Attachment Services. ”
Ove ranjivosti su iskorištavane u divljini, a neke metode datiraju prije šest godina, naglašavajući potrebu za stalnim poboljšanjem sigurnosnih mjera.
Microsoftov odgovor
Microsoft je objavio službenu ispravku za CVE-2024-38217, koja se bavi iskorištavanjem ove ranjivosti. Ispravka je ključna za korisnike Windows 11, verzija 24H2, posebno one koji koriste nove Copilot+ uređaje koji dolaze unaprijed instalirani s ovom verzijom.
Iako Windows 11, verzija 24H2, još uvijek nije općenito dostupan, Microsoft je osigurao da ažuriranja budu dostupna pogođenim korisnicima.
Iskorištavanje ove ranjivosti nultog dana naglašava tekuću bitku između sigurnosnih programera i cyber kriminalaca. Sigurnosni sistemi zasnovani na reputaciji kao što su SAC i SmartScreen nisu sigurni, a napadači nastavljaju da smišljaju metode kako bi zaobišli ovu odbranu.
Da bi ublažili takve prijetnje, stručnjaci za kibernetičku sigurnost preporučuju:
- Razvijanje bihevioralnih potpisa : Fokusirajte se na kreiranje potpisa ponašanja za najčešće zloupotrebljene softverske kategorije.
- Nadgledanje preuzetih datoteka : Obratite posebnu pažnju na datoteke preuzete na nestandardne lokacije, što može ukazivati na zlonamjernu aktivnost.
- Izmjene LNK fajla : Nadgledajte promjene koje je explorer.exe napravio u LNK datotekama, jer one mogu sugerirati pokušaje zaobilaženja MOTW-a.
Na kraju, iako je odbrana zasnovana na reputaciji od suštinskog značaja, ona mora biti dopunjena robusnim praćenjem ponašanja kako bi se efikasno borili protiv naprednih pretnji.
Kako Microsoft nastavlja da poboljšava svoje sigurnosne funkcije, korisnici se pozivaju da budu informisani o ažuriranjima i da odmah primjenjuju zakrpe kako bi zaštitili svoje sisteme od ranjivosti koje se pojavljuju.
Izvor: CyberSecurityNews
