Una vulnerabilidad de Microsoft Defender SmartScreen que fue reparada en febrero todavía se utiliza en ataques de robo de información en todo el mundo.
CVE-2024-21412, un error de omisión de seguridad de gravedad “alta”, identificado como CVSS 8.1 en SmartScreen, se reveló y solucionó por primera vez el 13 de febrero. Desde entonces, se ha utilizado en campañas que involucran a conocidos ladrones de información como ladrón de lumma, hidra de aguaY puerta oscura.
Ahora, cinco meses después, Fortinet ha vuelto a informar Otra campaña en la que participan dos ladrones más.:Meduza y ACR. Los ataques han llegado hasta ahora a Estados Unidos, España y Tailandia.
A veces, las empresas se toman su tiempo para actualizar el software de terceros. Por el contrario, “los atacantes en este caso están aprovechando el software nativo de Microsoft Windows, que se actualizaría como parte de los ciclos normales de parches de Microsoft”, señala Aamir Lakhani, estratega de seguridad global e investigador de Fortinet. “Es bastante difícil saber cuándo estas vulnerabilidades no están parcheadas, ya que esto podría indicar que otras vulnerabilidades de Microsoft tampoco están parcheadas. »
Una cadena de ataque CVE-2024-21412
Si visita un sitio web o descarga un archivo o programa que se sabe que es peligroso o sospechoso por varios otros motivos, SmartScreen intervendrá y le presentará el famoso mensaje de pantalla azul: “Windows ha protegido su PC”. Esta es una forma sencilla y eficaz de alertar a los usuarios sobre amenazas informáticas potencialmente peligrosas.
Así que imagina lo útil que sería para un atacante poder simplemente desactivar esta notificación. Esto es lo que les permite hacer la falla CVE-2024-21412.
En la última campaña identificada por Fortinet, los atacantes atacan SmartScreen “combinando trucos de PowerShell y ocultando ataques en imágenes y aprovechando cómo se procesan esas imágenes”, dice Lakhani.
Primero, atraen a sus víctimas con una URL que activa la descarga de un archivo de acceso directo (LNK). El LNK descarga un ejecutable con un script de aplicación HTML (HTA) con código PowerShell para recuperar archivos PDF señuelo e inyectores de código malicioso.
Uno de los inyectores es más interesante que el otro. Después de ejecutar comprobaciones antidepuración, descarga un archivo de imagen JPG y luego utiliza una API de Windows para acceder a sus píxeles y decodificar sus bytes, que contienen código malicioso.
“Este tipo de ataques basados en imágenes existen desde hace mucho tiempo, y aunque no son tan comunes como otros tipos de ataques que vemos normalmente, todavía los vemos aparecer con el tiempo porque son bastante efectivos”, señala Lakhani. “No es sorprendente ver este ataque, particularmente porque [steganography] “A menudo se pasa por alto la detección en comparación con otros escenarios de ataque. »
Consecuencias para los no parcheados
En este caso, los ladrones introducidos de contrabando a través de archivos de imágenes se implantan dentro de procesos legítimos de Windows, desde donde comienza la recopilación y exfiltración de datos.
Los tipos de información a los que se dirigen son muy diversos. ACR, por ejemplo, roba datos de decenas de navegadores (Google Chrome, Firefox), decenas de carteras de criptomonedas (Binance, Ledger Live), aplicaciones de mensajería (Telegram, WhatsApp), gestores de contraseñas (Bitwarden, 1Password), redes privadas virtuales ( VPN), clientes de correo electrónico, clientes de protocolo de transferencia de archivos (FTP) y mucho más.
Sólo las empresas que están muy atrasadas en los parches estándar de Windows tienen algo de qué preocuparse. Pero está claro que estas empresas existen.
“Entiendo que las actualizaciones de software individuales para pequeñas empresas pueden pasar desapercibidas, pero la mayoría de las empresas dependen de las actualizaciones de parches de Microsoft con regularidad y esta vulnerabilidad en particular sigue siendo vulnerable a los ataques”, dice Lakhani. Para fomentar mejores prácticas de actualización, añade, “creo que en todos los casos, las empresas de software deben alertar a los usuarios sobre la existencia de parches de seguridad críticos que deben instalarse en el lanzamiento o después del uso del software”. »