Copy2Pwn 0day 被用于绕过 Windows 防护措施
2024-8-19 17:25:46 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

趋势科技ZDI详述了一个最近修复的且被网络犯罪分子用于绕过 Windows 防护措施的0day 漏洞 (CVE-2024-38213) 详情。

该漏洞被 ZDI 称为 “Copy2Own”,由微软在2024年6月修复,但ZDI在微软发布8月补丁星期二之后才披露。

ZDI 威胁捕获团队在分析由名为 Water Hydra 和 DarkCasino 的一个威胁团伙发动的攻击活动 DarkGate 时发现了该漏洞。该威胁团伙此前曾利用该漏洞绕过旨在获得经济利益的 Windows 防护措施。微软指出,该漏洞可被用于绕过Defender SmartScreen,而它用于保护 Windows 用户免受钓鱼攻击、恶意软件和其它从互联网下载的潜在恶意文件影响。

Copy2Own 漏洞与在复制粘贴操作过程中如何处理 WebDAV 分享的文件有关。WebDAV即“基于Web的分布式授权和版本控制”,延伸了 HTTP 功能,包括授权、分享和版本控制。用户可在 WebDAV 分享上托管文件。当Windows用户从 web 下载文件时,该文件被分配 MotW,在文件被打开时触发额外的安全检查,包括 Defender SmartScreen 和 Office 受保护视图。

网络犯罪分子注意到,从 WebDAV 分享中复制和粘贴的文件并未获得 MotW。ZDI解释称,“这意味着用户从 WebDAV 分享将文件粘贴和复制到桌面,而之后这些文件可在不受Windows Defender SmartScreen 或微软 Office 受保护视图的保护下被打开。具体而言,这意味着可执行文件不会获得声誉或签名方面的检查。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

【利用场景更新】Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞(CVE-2024-38063)安全风险通告

【Black Hat】将已修复漏洞统统变0day!Windows更新缺陷可引发不可检测的降级攻击

恶意软件攻击Windows、Linux 和 macOS 开发人员

CrowdStrike:测试软件中的bug导致Windows蓝屏死机

我们仔细分析了使数百万Windows 蓝屏死机的CrowdStrike代码

原文链接

https://www.securityweek.com/copy2pwn-zero-day-exploited-to-bypass-windows-protections/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520517&idx=2&sn=3f8deb775a5743e1c32954859fa214e4&chksm=ea94a06fdde32979edfb5ed561f62e1bc0dbc6f03692917eea70e0e8d1f0d9584579d8d21572&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh