Een zerodaylek in Microsoft SmartScreen is zeker sinds januari gebruikt bij aanvallen met de Magniber-ransomware, zo heeft Google ontdekt. Gisterenavond kwam Microsoft met een patch voor de kwetsbaarheid. Een soortgelijk beveiligingslek werd eerder al door de ransomwaregroep gebruikt. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet.
Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het zerodaylek (CVE-2023-24880) zorgt ervoor dat de waarschuwing niet verschijnt.
De aanvallers doen dit door het bestand van een speciaal geprepareerde, ongeldige digitale handtekening is te voorzien. Deze handtekening zorgt voor een fout binnen SmartScreen, waardoor het waarschuwingsvenster niet verschijnt. Een gebruiker moet nog wel zelf het malafide bestand openen. Google meldde de kwetsbaarheid op 15 februari aan Microsoft, dat zoals gezegd gisteren met een update kwam.
Volgens Google heeft de Magniber-ransomware zeker sinds januari misbruik van het beveiligingslek gemaakt en zijn de malafide bestanden sindsdien meer dan honderdduizend keer gedownload. De Magniber-ransomware richtte zich in het verleden vaak op Zuid-Korea, maar meer dan tachtigduizend van de honderdduizend downloads sinds januari vonden plaats in Europa.
Google stelt verder dat Microsoft de oorspronkelijke oorzaak niet heeft verholpen. Daardoor konden de aanvallers de update voor de eerdere, soortgelijke kwetsbaarheid omzeilen en gebruikers opnieuw aanvallen. "Omdat de hoofdoorzaak achter de SmartScreen security bypass niet werd opgelost, konden de aanvaller snel een variant van de oorspronkelijke bug vinden", aldus Google, dat spreekt over een trend waarbij softwareleveranciers beperkte patches uitbrengen waardoor aanvallers de kans krijgen nieuwe varianten te vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.