Η Microsoft διόρθωσε την ευπάθεια zero-day που εκμεταλλεύονταν κακόβουλοι φορείς για να παρακάμψουν την υπηρεσία anti-malware του Windows SmartScreen που βασίζεται στο cloud και να παραδώσουν ωφέλιμα φορτία ransomware Magniber χωρίς καμία προειδοποίηση.
Δείτε επίσης: Clop ransomware: Παραβίασε εταιρείες μέσω GoAnywhere MFT zero-day
Μια ευπάθεια zero-day αναφέρεται σε ένα ελάττωμα ασφαλείας σε λογισμικό ή υλικό που είναι άγνωστο στον προμηθευτή και ως εκ τούτου, δεν έχει αντιμετωπιστεί ή επιδιορθωθεί. Επειδή δεν έχουν ανακαλυφθεί ή δημοσιοποιηθεί, αυτές οι ευπάθειες παρέχουν στους επιτιθέμενους την ευκαιρία να τις εκμεταλλευτούν μέχρι να γίνουν γνωστές και να κυκλοφορήσει μία επιδιόρθωση.
Για την εκμετάλλευση αυτής της ευπάθειας παράκαμψης χαρακτηριστικών ασφαλείας, οι επιτιθέμενοι υπέγραψαν κακόβουλα αρχεία MSI με μια ειδικά κατασκευασμένη υπογραφή Authenticode. Παρά το γεγονός ότι ήταν παράνομη, η υπογραφή ήταν αρκετά ισχυρή ώστε να εξαπατήσει το SmartScreen και να σταματήσει την εμφάνιση οποιωνδήποτε προειδοποιήσεων ασφαλείας Mark-of-the-Web (MotW) που θα προειδοποιούσαν τους χρήστες για το άνοιγμα αρχείων από διαδικτυακές πηγές.
Στις 15 Φεβρουαρίου, η Ομάδα Ανάλυσης Απειλών (TAG) της Google αποκάλυψε την ευπάθεια CVE-2023-24880. Στη συνέχεια, η ομάδα ανάλυσης ανέφερε αμέσως τα ευρήματά της στη Microsoft.
Σύμφωνα με το Google TAG, από τις αρχές του 2023 έχουν γίνει περισσότερες από 100.000 λήψεις κακόβουλων αρχείων MSI – με το 80% ή περισσότερο να προέρχεται από χρήστες στην Ευρώπη. Αυτό έρχεται σε πλήρη αντίθεση με τους συνήθεις στόχους της Magniber, οι οποίοι παραδοσιακά είναι άνθρωποι στη Νότια Κορέα και την Ταϊβάν.
Το ransomware Magniber αποτελεί απειλή τουλάχιστον από τον Οκτώβριο του 2017, παίρνοντας τη θέση του Cerber αφού άρχισε να διανέμει τα ωφέλιμα φορτία του μέσω κακόβουλων διαφημίσεων με τη χρήση του Magnitude Exploit Kit (EK).
Δείτε ακόμα: Apple: Διόρθωσε zero-day bug που επηρεάζει iPhone, iPad, Mac
Ξεκινώντας από τη Νότια Κορέα, η συμμορία έχει από τότε επεκτείνει την εμβέλειά της σε άλλα κράτη, όπως η Κίνα, η Ταϊβάν, η Μαλαισία, το Χονγκ Κονγκ και η Σιγκαπούρη. Δεν αρκούνται όμως εκεί, αλλά έχουν τώρα βάλει στο στόχαστρο την Ευρώπη με ένα νέο κύμα επιθέσεων.
Από τις αρχές του 2021, η Magniber έχει γίνει ολοένα και πιο ενεργή με πολλά δείγματα αποδεικτικών στοιχείων που έχουν σταλεί στο ID Ransomware για επανεξέταση. Το CVE-2023-24880 είναι παρακλάδι μιας άλλης ευπάθειας ασφαλείας, γνωστή ως CVE-2022-44698. Αυτό το συγκεκριμένο zero-day exploit χρησιμοποιήθηκε για τη διάδοση κακόβουλου λογισμικού μέσω της αλλοίωσης ψηφιακών υπογραφών σε αυτόνομα αρχεία JavaScript.
Η Microsoft αντιμετώπισε το CVE-2022-44698 κατά τη διάρκεια του Patch Tuesday του Δεκεμβρίου 2022, μετά από μήνες κακόβουλης χρήσης του για την απόρριψη του κακόβουλου λογισμικού Qbot και του ransomware Magniber. Έχει παρατηρηθεί ότι το Qbot συνεργάζεται με άλλες ομάδες ransomware, όπως οι Egregor, Prolock και Black Basta, προκειμένου να διεισδύσει σε εταιρικά δίκτυα.
Όπως ανέφερε σήμερα η Google TAG, δημιουργήθηκε ένα exploit λόγω της αποκλειστικής επιδιόρθωσης από τη Microsoft μιας μόνο πτυχής του CVE-2022-44698 αντί της επίλυσης του υποκείμενου προβλήματος. Κατά συνέπεια, αυτό προκάλεσε την πραγματοποίηση του CVE-2023-24880.
Δείτε επίσης: GoAnywhere MFT zero-day: Η Fortra κυκλοφόρησε patch
Η Google TAG διαπίστωσε ότι όταν επιδιορθώνεται ένα ζήτημα ασφάλειας, υπάρχει μια εγγενής ένταση μεταξύ της επιδιόρθωσης του άμεσου προβλήματος και της αντιμετώπισης της θεμελιώδους αιτίας του. Δεδομένου ότι η βασική πηγή της παράκαμψης ασφαλείας του SmartScreen δεν επισκευάστηκε, οι επιτιθέμενοι ήταν σε θέση να βρουν γρήγορα μια εναλλακτική έκδοση αυτού του σφάλματος.
