(https://i.imgur.com/TamA7KR.png)
Microsoft solucionó una vulnerabilidad de seguridad utilizada por los actores de amenazas para eludir la función de seguridad de Windows SmartScreen y entregar cargas útiles de ransomware Magniber y malware Qbot.
Los atacantes utilizaron archivos JavaScript independientes maliciosos para explotar el día cero CVE-2022-44698 para eludir las advertencias de seguridad Mark-of-the-Web que muestra Windows para alertar a los usuarios de que los archivos que se originan en Internet deben tratarse con precaución.
"Un atacante puede crear un archivo malicioso que evadiría las defensas de Mark of the Web (MOTW), lo que daría como resultado una pérdida limitada de integridad y disponibilidad de funciones de seguridad como Vista protegida en Microsoft Office, que se basan en el etiquetado MOTW", explicó Redmond en Martes.
Según Microsoft, esta falla de seguridad solo puede explotarse utilizando tres vectores de ataque:
- En un escenario de ataque basado en la web, un atacante podría alojar un sitio web malicioso que explota la omisión de la función de seguridad.
- En un escenario de ataque por correo electrónico o mensaje instantáneo, el atacante podría enviar al usuario objetivo un archivo .url especialmente diseñado para explotar la omisión.
- Los sitios web comprometidos o los sitios web que aceptan o alojan contenido proporcionado por el usuario pueden incluir contenido especialmente diseñado para explotar la omisión de la función de seguridad.
Sin embargo, en todos estos escenarios, los actores de amenazas tendrían que engañar a sus objetivos para que abran archivos maliciosos o accedan a sitios web controlados por atacantes con exploits CVE-2022-44698.
Microsoft lanzó actualizaciones de seguridad para abordar este día cero durante el parche de diciembre de 2022 el martes después de trabajar en una solución para esta vulnerabilidad de día cero explotada activamente desde finales de octubre, como le dijo la compañía a BleepingComputer .
Explotado en ataques de malwareEl equipo de inteligencia de amenazas de HP informó por primera vez en octubre que los ataques de phishing estaban distribuyendo el ransomware Magniber utilizando archivos JavaScript standalone.JS firmados digitalmente con un formato incorrecto como se descubrió . Will Dormann, analista senior de vulnerabilidades de ANALYGENCE.
Esto haría que SmartCheck fallara y permitiría que los archivos maliciosos se ejecutaran sin lanzar ninguna advertencia de seguridad e instalar el ransomware Magniber, aunque se haya etiquetado con una bandera MoTW.
(https://i.imgur.com/30Inxcr.png)
Cadena de infección JS de Magniber (BleepingComputer)
El mes pasado, también se abusó de la misma vulnerabilidad de día cero de Windows en ataques de phishing para eliminar el malware Qbot sin mostrar advertencias de seguridad MOTW.
Como descubrió el investigador de seguridad ProxyLife , los actores de amenazas detrás de esta reciente campaña de phishing de QBot cambiaron a Windows Mark of the Web de día cero mediante la distribución de archivos JS firmados con la misma clave mal formada utilizada en los ataques de ransomware Magniber.
QBot (también conocido como Qakbot) es un troyano bancario de Windows que se ha convertido en un lanzador de malware que robará correos electrónicos para usarlos en ataques de phishing posteriores o entregará cargas útiles adicionales como Brute Ratel , Cobalt Strike y otro malware .
También se sabe que las operaciones de ransomware Egregor , Prolock y Black Basta se asociaron con QBot para obtener acceso a las redes corporativas de las víctimas.
Durante el martes de parches de diciembre de 2022 , Microsoft también arregló un día cero divulgado públicamente (CVE-2022-44710) que permitiría a los atacantes obtener privilegios de SISTEMA en sistemas Windows 11 sin parches.
Fuente: https://www.bleepingcomputer.com