Exploit PoC para la omisión crítica (Bypass) de Windows Defender

Iniciado por AXCESS, Noviembre 24, 2023, 05:12:49 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Noviembre 24, 2023, 05:12:49 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un exploit PoC ahora está disponible públicamente para una vulnerabilidad crítica de día cero en la tecnología Windows SmartScreen. Microsoft ya había publicado un parche para esta falla, designado como CVE-2023-36025, en su actualización de seguridad del martes de parches de noviembre. El error estaba siendo explotado activamente como un día cero en ese momento, y la publicación de la prueba de concepto subraya aún más la importancia de abordar esta vulnerabilidad.

CVE-2023-36025 es una falla de derivación de seguridad que permite a los atacantes pasar código malicioso por las comprobaciones de Windows Defender SmartScreen sin activar ninguna alarma. El proceso de explotación implica lograr que un usuario haga clic en un acceso directo de Internet (.URL) creado con fines malintencionados o en un enlace que conduzca a dicho archivo. Microsoft ha caracterizado el error por tener una baja complejidad de ataque, necesitar sólo privilegios mínimos y ser explotable a través de Internet. Esta vulnerabilidad afecta a Windows 10, Windows 11 y Windows Server 2008 y versiones posteriores.

Varios investigadores de seguridad habían identificado previamente CVE-2023-36025 como un error de alta prioridad a corregir en la actualización de noviembre de Microsoft. Es probable que la reciente publicación de un archivo de acceso directo a Internet PoC que podría usarse para explotar esta vulnerabilidad genere más preocupaciones. El script demuestra cómo un atacante podría crear un archivo .URL aparentemente legítimo pero malicioso y distribuirlo a través de un correo electrónico de phishing.

El investigador que desarrolló el script de ataque explicó:

"Este archivo .URL apunta a un sitio web malicioso, pero podría presentarse como algo legítimo. Un atacante podría entregar este archivo .URL diseñado a través de correos electrónicos de phishing o sitios web comprometidos".

Si se engaña a un usuario para que haga clic en el archivo, será dirigido directamente al sitio malicioso o ejecutará código malicioso sin recibir ninguna de las advertencias habituales de SmartScreen. El investigador afirmó, además:

"La explotación de CVE-2023-36025 puede conducir a ataques de phishing, distribución de malware y otras amenazas de ciberseguridad exitosas".

Entre los actores de amenazas que apuntan a CVE-2023-36025 se encuentra TA544, un actor de amenazas persistentes avanzadas (APT) con motivación financiera que ha sido monitoreado por Proofpoint y otros desde al menos 2017. A lo largo de los años, este grupo ha utilizado una variedad de herramientas de malware para campañas dirigidas a organizaciones de Europa occidental y Japón. Es más conocido por distribuir el troyano bancario Ursnif (también conocido como Gozi) y, más recientemente, un sofisticado descargador de segunda etapa conocido como WikiLoader.

Un investigador de Proofpoint informó que TA544 ha estado explotando CVE-2023-36025 en una campaña que involucra a Remcos, un troyano de acceso remoto que ha sido utilizado por varios actores de amenazas para controlar y monitorear de forma remota los dispositivos Windows comprometidos. En la campaña actual, el actor de amenazas ha creado una página web única con enlaces que dirigen a los usuarios a un archivo .URL que contiene una ruta a un archivo de disco duro virtual (.vhd) o a un archivo .zip alojado en un sitio web comprometido. Con CVE-2023-36025, los atacantes pueden montar automáticamente el VHD en los sistemas simplemente abriendo el archivo .URL, explicó el investigador.

Kev Breen, director senior de investigación de amenazas en Immersive Labs, comentó cuando Microsoft reveló por primera vez la vulnerabilidad SmartScreen:

"Windows utiliza SmartScreen para evitar ataques de phishing o el acceso a sitios web maliciosos y la descarga de archivos que no son de confianza o potencialmente maliciosos. Esta vulnerabilidad sugiere que Los atacantes podrían utilizar un archivo especialmente diseñado para evitar esta verificación, reduciendo la seguridad general del sistema operativo".

CVE-2023-36025 es el tercer error de día cero en SmartScreen que Microsoft ha revelado este año. En febrero, los investigadores de Google descubrieron un actor de amenazas que explotaba una vulnerabilidad SmartScreen previamente desconocida para distribuir el ransomware Magniber en los sistemas de destino. Microsoft asignó esta vulnerabilidad como CVE-2023-24880 y emitió un parche en marzo. En julio, la empresa parchó CVE-2023-32049, otra vulnerabilidad de elusión de seguridad en SmartScreen que estaba siendo explotada activamente en el momento del parche.

Fuente:
Vulnera
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario