23/11/23
Компания Microsoft недавно выпустила обновление безопасности для устранения критической уязвимости нулевого дня в технологии защиты SmartScreen в операционной системе Windows. Однако эксплойт для этой уязвимости уже использовался злоумышленниками до выхода обновления.
Теперь в сети появилось доказательство концепции (Proof-of-Concept, PoC) этой уязвимости, обозначенной как CVE-2023-36025, пишет Securitylab. Появление PoC-эксплойта повышает необходимость для организаций устранить проблему, если они ещё не приняли соответствующих мер.
Уязвимость позволяет обходить защиту SmartScreen и пропускать вредоносный код мимо проверок безопасности в Windows Defender. Для эксплуатации злоумышленнику нужно заставить пользователя кликнуть по специально созданному URL или ссылке на такой файл.
Microsoft оценивает сложность атаки как низкую. Эксплуатировать уязвимость можно удаленно с низкими привилегиями. Она присутствует в Windows 10, Windows 11 и Windows Server 2008 и более поздних версиях.
Недавно опубликованный PoC показывает, как злоумышленник может сгенерировать легитимно выглядящий, но вредоносный .URL-файл и распространить его, например, через фишинговое письмо. Пользователь, кликнувший по файлу, попадет на вредоносный сайт или запустит вредоносный код без предупреждений от SmartScreen.
Среди тех, кто эксплуатирует уязвимость CVE-2023-36025, группа TA544 - финансово мотивированная хакерская группировка, активная с 2017 года. Группа использовала различные инструменты вредоносного ПО в кампаниях, направленных на организации в Западной Европе и Японии, и известна распространением банковского трояна Ursnif (Gozi) и более сложного загрузчика второго этапа WikiLoader .
Недавно исследователь из Proofpoint зафиксировал использование TA544 уязвимости CVE-2023-36025 в кампании с Remcos - трояном удаленного доступа, который различные хакерские группировки используют для удаленного контроля и мониторинга скомпрометированных устройств Windows. В текущей кампании хакеры создали уникальную веб-страницу со ссылками, ведущими к .URL файлу с путем к файлу виртуального жесткого диска (.vhd) или к .zip файлу, размещенному на скомпрометированном сайте. CVE-2023-36025 позволяет атакующим автоматически монтировать VHD на системах, просто открыв .URL файл, отметил исследователь.
CVE-2023-36025 является третьей уязвимостью нулевого дня в SmartScreen, которую Microsoft раскрыла в этом году.
