Microsoft släppte säkerhetsuppdateringar för Windows i går på Patch Day för mars 2023. Bland de patchade säkerhetsuppdateringarna, varav flera bedöms som kritiska av Microsoft, finns ett säkerhetsproblem som aktivt utnyttjas i det vilda.
Problemet rapporterades av Google Threat Analysis Group. Hotaktören använde “en oparpad säkerhetsbypass i Microsofts SmartScreen-säkerhetsfunktion” för att pressa Magniber ransomware till användarnas system.
Google beskriver attacken i detalj och anger att angripare använder “MSI-filer signerade med en ogiltig men specialtillverkad Authenticode-signatur.” Även om signaturen är ogiltig, orsakar den ett SmartScreen-fel som “resulterar i att förbigå dialogrutan för säkerhetsvarning” som vanligtvis visas för Windows-användare när opålitliga filer körs på enheten med ett webbmärke.
Google har observerat mer än 100 000 nedladdningar av skadliga MSI-filer sedan januari 2023. Mer än 80 % av dessa nedladdningar skedde i Europa, en “anmärkningsvärd avvikelse från Magnibers typiska inriktning”, som är inriktad på Sydostasien. Google noterar att Chrome-webbläsarens skydd för säker surfning har visat nedladdningsvarningar för mer än 90 % av berörda användare.
Angripare använde en tidigare SmartScreen-bypass förra året för att attackera Windows-enheter. Säkerhetsforskare på HP Threat Research och 0Patch gav en analys av problemet. 0Patch påpekade att de skadliga filerna hade ogiltiga signaturer och att Windows aldrig borde ha litat på dessa filer. Signaturens felaktiga karaktär utnyttjade buggen i SmartScreen, vilket ledde till att Windows litade på den skadliga filen utan att visa en varning för användaren under körningen.
Microsoft släppte en patch i september, inriktad på CVE-2022-44698, och bedömde problemet som måttligt. Den här initiala patchen tog inte upp grundorsaken till säkerhetsproblemet, utan bara den specifika metod som användes av attackerna vid den tiden. Google säger i sin slutsats att “grundorsaken bakom SmartScreens säkerhetsbypass inte åtgärdades” och att detta gjorde det möjligt för angripare att “snabbt identifiera en variant av den ursprungliga buggen”, som de nu använder i attacker.
Microsoft spårar det nya säkerhetsproblemet som CVE-2023-24880 och klassar det som ett måttligt hot. Det återstår att se om den andra säkerhetskorrigeringen som släppts av Microsoft fixar hela SmartScreen-buggen, eller om en annan variant dyker upp under de kommande månaderna eller två som utnyttjar ett annat sätt att kringgå SmartScreen på Windows.
Google erbjuder detaljerad information om attacken på sin blogg.
Avslutningsord
Windows 10 och 11, såväl som Windows Server-administratörer, kan installera säkerhetsuppdateringarna från mars 2023 för att åtgärda problemet.
Annons
