2 月份修补的 Microsoft Defender SmartScreen 漏洞仍在全球范围内用于信息窃取攻击。

CVE-2024-21412 是 SmartScreen 中一个严重性为“高”的 CVSS 评分为 8.1 的安全绕过漏洞，于 2 月 13 日首次披露并修复。从那时起，它已被用于涉及 Lumma Stealer、Water Hydra 和 DarkGate 等知名信息窃取者的活动。

现在，五个月后，Fortinet 标记了另一个涉及另外两个偷窃者的活动：Meduza 和 ACR。到目前为止，袭击已经到达美国、西班牙和泰国。

有时，组织会花时间更新第三方软件。相比之下，“在这种情况下，攻击者正在利用 Microsoft Windows 上的原生软件，这些软件将在正常的 Microsoft 补丁周期内更新，”Fortinet 全球安全策略师兼研究员 Aamir Lakhani 指出。“当这些漏洞没有得到修补时，这有点不清楚和令人担忧，因为这可能表明还有其他Microsoft漏洞也没有得到修补。

CVE-2024-21412攻击链

如果您访问的网站或下载的文件或程序已知不安全，或者由于任何其他原因而可疑，SmartScreen 将介入并向您显示著名的蓝屏消息：“Windows 保护了您的电脑。这是一种简单、有效的方法，可以提醒用户注意潜在危险的网络威胁。

因此，请考虑一下，如果攻击者可以简单地禁用该通知，那么对他们有多大用处。这就是 CVE-2024-21412 允许他们做的事情。

在 Fortinet 确定的最新活动中，攻击者正在“通过结合 PowerShell 诡计和在图像中隐藏攻击并利用这些图像的处理方式”击败 SmartScreen，Lakhani 解释说。

首先，他们通过触发快捷方式 （LNK） 文件下载的 URL 引诱受害者。LNK 下载带有 HTML 应用程序 （HTA） 脚本的可执行文件，其中包含用于检索诱饵 PDF 文件和恶意代码注入器的 PowerShell 代码。

其中一个喷油器比另一个更有趣。在运行反调试检查后，它会下载一个 JPG 图像文件，然后使用 Windows API 访问其像素并解码其字节，其中隐藏着恶意代码。

“这些类型的基于图像的攻击已经存在了很长时间，虽然它们不像我们通常观察到的其他类型的攻击那样常见，但我们仍然看到它们随着时间的推移而出现，因为它们非常有效，”Lakhani指出。“看到这种攻击并不奇怪，特别是因为与其他攻击场景相比，[隐写术]检测经常被忽视。”

对未修补的后果

在这种情况下，通过图像文件走私进来的窃取者被植入合法的 Windows 进程中，此时数据的收集和泄露开始。

他们所针对的信息种类很广泛。例如，ACR 从数十种浏览器（Google Chrome、Firefox）、数十种加密钱包（Binance、Ledger Live）、信使应用程序（Telegram、WhatsApp）、密码管理器（Bitwarden、1Password）、虚拟专用网络 （VPN） 应用程序、电子邮件客户端、文件传输协议 （FTP） 客户端等中窃取。

只有远远落后于标准 Windows 补丁的组织才需要担心。不过，显然，这些组织就在那里。

Lakhani说：“我能理解小公司的个别软件更新可能会被遗漏，但大多数组织都会定期更新Microsoft软件补丁，而且这个特殊的漏洞仍然容易受到攻击。为了鼓励更好的补丁实践，他补充说，“我认为在所有情况下，软件供应商都需要向用户发出警报和通知，告知存在关键的安全补丁，并且应该在启动或使用软件时安装。