Uma falha crítica de segurança no Home windows SmartScreen foi selada pela Microsoft após hackers explorá-la por vários meses. Essa falha, marcada como CVE-2024-38213, permitiu que agentes maliciosos contornassem as medidas de proteção do SmartScreen, destinadas a proteger os usuários de softwares prejudiciais.
Descoberta e Exploração
Peter Girnus, da Development Micro – by way of Bleeping Laptop – descobriu a falha, testemunhando seu abuso por cibercriminosos para implantar malware disfarçado de software program legítimo, como Apple iTunes e instaladores NVIDIA. Embora a exploração exigisse interação do usuário, ataques direcionados tornaram a falha notavelmente eficaz.
A Microsoft incluiu uma correção para esse problema em sua atualização Patch Tuesday de junho de 2024, apesar das omissões iniciais nas atualizações de segurança de junho e julho. Essa falha period parte de um esquema maior dos operadores de malware DarkGate, anteriormente conhecidos por explorar outra vulnerabilidade do SmartScreen, CVE-2024-21412.
Insights técnicos e danos
O CVE-2024-38213 permitiu a evasão do rótulo Mark of the Net (MotW), um indicador crítico usado pelo SmartScreen para sinalizar arquivos potencialmente perigosos. Os invasores aproveitaram essa supervisão para induzir os usuários a abrir arquivos prejudiciais sem a interferência do SmartScreen. A exploração envolveu arquivos de compartilhamentos WebDAV, manipulando-os por meio de ações de copiar e colar.
A Zero Day Initiative (ZDI) da Development Micro relatou as atividades crescentes da campanha DarkGate, fazendo referência a exploits zero-day anteriores como CVE-2024-21412. Esta operação viu malware disfarçado como instaladores de software program genuínos se infiltrarem em sistemas de usuários. A Microsoft já corrigiu esse problema em fevereiro.
Problemas de segurança contínuos
As vulnerabilidades do SmartScreen têm consistentemente representado ameaças. Anteriormente, o grupo Water Hydra usou o CVE-2024-21412 em campanhas de malware visando fóruns de negociação de ações e foreign exchange por meio do trojan DarkMe. Além disso, o Elastic Safety Labs identificou uma falha de design no Home windows Good App Management e no SmartScreen que remonta a 2018, permitindo execuções ocultas de programas.
A Microsoft continua a lidar com essas vulnerabilidades com atualizações contínuas. O recente Patch Tuesday de agosto de 2024 abordou nove falhas de dia zero, incluindo seis vulnerabilidades exploradas ativamente.
