Google发现Microsoft SmartScreen零日漏洞

关键点

• Google的Threat Analysis Group发现了一个零日漏洞，攻击者可以绕过Microsoft SmartScreen的安全功能，部署Magniber勒索软件而不触发安全警告。
• 该漏洞涉及使用“无效但专门制作的Authenticode签名”的MSI文件，影响多个地区的用户。
• 微软在最近的补丁发布中已修复此漏洞，但Google指出攻击者仍然可以通过多种方式触发相同的错误。

Google的Threat Analysis Group最近发现了一个严重的零日漏洞，这个漏洞使得攻击者能够绕过MicrosoftSmartScreen的安全功能，成功部署Magniber勒索软件，而不会触发任何安全警告。

是一个设计用于帮助Windows用户防御钓鱼攻击、恶意软件以及下载潜在恶意应用程序和文件的浏览器安全功能。它会分析用户访问的网站和下载并生成警报，当检测到可疑活动时会提醒用户。

然而，Google发现，勒索软件攻击者可以利用一个特制的MSI文件，使用“无效但特别构造的Authenticode签名”，从而绕过SmartScreen的检测。这种情况迫使SmartScreen对文件shdocvw.dll使用默认设置，从而不会显示安全警告。

“错误的签名导致SmartScreen返回错误，结果是绕过了显示给用户的安全警告对话框，当一个不受信任的文件包含网络标记时，这表明潜在恶意的文件已从互联网下载。”该博客中提到。

Google的Threat AnalysisGroup表示，他们于2023年2月15日将该问题报告给了Microsoft。此漏洞的追踪编号是，并在今天的Microsoft Patch Tuesday更新中得到修复。

CISA还在周二将该漏洞添加到其已知可利用漏洞目录中。

根据Google的说法，Magniber主要针对韩国和台湾的受害者，但在此案例中超过80%的受影响用户居住在欧洲。这与相符合，表明自2021年以来，Magniber背后的攻击者已经稳步扩大了他们在亚洲以外的地理足迹。和Google一样，TrendMicro也观察到Magniber利用假安装程序进行Windows更新，以及错位的数字签名来绕过网络标记所使用的阻止功能。

这并不是第一次使用SmartScreen绕过作为传递勒索软件的手段。

在2022年10月，安全研究员WillDormann了一个类似的漏洞（），也允许攻击者绕过Windows对不受信任来源的警告，并使用JScript文件和其他类型的错误签名来部署Magniber勒索软件。

去年11月，的研究人员发现攻击者使用相同的JScript绕过技能传播Qakbot恶意软件。Google指出，除了少数随机字段之外，Magniber和Qakbot活动中捕获的签名“高度相似”。

微软之前的补丁成功关闭了一些导致此错误的特定路径，但Google的研究人员指出，攻击者仍然可以通过多种不同方式调用并触发相同的错误，产生相同的效果，使其具有绕过的漏洞。每个路径都代表“攻击者返回错误的潜在机会……将开放并且不会显示安全警告”。

“这种安全绕过是Project Zero之前强调的一个更大趋势的例子：供应商通常发布狭窄的补丁，这为攻击者创造了迭代和发现新变体的机会，”Google指出。“在修复安全问题时，局部可靠的修复与可能更难修复的根本原因之间存在张力。由于SmartScreen安全绕过的根本原因没有被解决，攻击者能够快速识别出原始错误的不同变体