漏洞攻擊
Smartscreen 漏洞:CVE-2024-21412 當前現況與防範之道
本文旨在提供更多 CVE-2024-21412 漏洞相關的資訊,包括駭客如何發動攻擊,以及趨勢科技如何協助客戶防範此漏洞。
2024 年 2 月 13 日,Microsoft 發布了一份針對 CVE-2024-21412 漏洞的修補更新,這是 Microsoft Defender SmartScreen 當中的一個涉及網際網路捷徑的漏洞。稍早,我們發現一個我們命名為 Water Hydra 的進階持續性滲透攻擊 (APT) 集團正在一起針對金融交易機構的精密攻擊行動當中使用 CVE-2024-21412 漏洞,藉此繞過 Microsoft Defender SmartScreen 安全機制,讓受害電腦感染 DarkMe 遠端存取木馬程式 (RAT)。
駭客隨時都在尋找經由漏洞來繞過安全機制的最新途徑。我們發現 CVE-2024-21412 漏洞其實是駭客繞過先前已經修補的 CVE-2023-36025 漏洞所造成。這突顯出駭客總是能夠想出新的途徑來繞過軟體元件曾經修補過的漏洞。
企業很重要的一點就是要能及時發掘和防範自身的漏洞 (特別是零時差漏洞),才能保護客戶、員工和系統,防範經由漏洞的攻擊,進而降低資安事件所造成的損害,強化整體的資安韌性。
三十多年來,趨勢科技一直守在保護企業、幫助企業防範網路惡意攻擊的最前線,並且搶在第一時間防範零時差漏洞與 N 日 (N day) 漏洞。憑藉著趨勢科技 Zero Day Initiative™ (ZDI) 漏洞懸賞計畫的支援,趨勢科技擁有全球最大的漏洞研究機構之一,我們將這項專業能力用於強化客戶的防禦、防範潛在的漏洞攻擊,並且展現我們開發主動式網路資安防護的決心。
本文旨在提供更多 CVE-2024-21412 漏洞相關的資訊,包括駭客如何發動攻擊,以及趨勢科技如何協助客戶防範此漏洞。該漏洞突顯出主動研究對於預測及防範潛在威脅與守護系統的重要性,同時也點出趨勢科技如何透過專門的漏洞懸賞計畫以及專門的內部和外部漏洞研究人員來發掘最新的漏洞。藉由彼此互利的關係,趨勢科技就能掌握最新的漏洞,並為客戶提供防護,而且在許多情況下都比廠商正式的修補更新更早推出。
Water Hydra 如何攻擊 CVE-2024-21412 漏洞
Water Hydra 進階持續性滲透攻擊 (APT) 集團 (又名 DarkCasino) 最早受到關注是在 2021 年,當時他們發動了一系列針對金融產業的攻擊行動,運用社交工程技巧在金融交易論壇上誘騙受害者。駭客瞄準了全球各地的銀行、虛擬加密貨幣平台、外匯與股票交易平台、賭博網站以及賭場。
對 Water Hydra 來說,CVE-2024-21412 漏洞是他們突破受害機構防線的手段。它讓駭客有機會在受害機構內部橫向移動,執行後續階段的攻擊。
該集團展現了相當程度的技術實力和精密程度,並有能力在攻擊當中使用尚未揭露的零時差漏洞。該集團至少從 2022 年開始便一直在使用 DarkMe 惡意程式來蒐集受害者的資訊。
除此之外,我們在追查這項威脅的過程中還發現有另外一個集團也正在攻擊這個漏洞。這突顯出許多時候我們很難確切知道一個零時差漏洞在網路上被駭客利用的情況有多廣,因為廠商跟一般大眾並不知道漏洞的存在。這同時也點出資安廠商研究團隊主動追蹤威脅的重要性。我們未來將另外撰寫一篇部落格來進一步探討這點。
駭客如何攻擊 CVE-2024-21412 漏洞
就 Water Hydra 集團的案例來說,他們是使用偽裝成 JPEG 圖片的網際網路捷徑,一旦使用者點選了該圖片,駭客就能利用 CVE-2024-21412 漏洞 來繞過 Microsoft Defender SmartScreen 安全機制,全面入侵受害的 Windows 主機。
有關這起攻擊行動的詳細技術分析,請參閱我們另一篇部落格文章:CVE-2024-21412: Water Hydra 利用 Microsoft Defender SmartScreen 零時差漏洞攻擊金融交易機構。
受 CVE-2024-21412 影響的用戶
CVE-2024-21412 是 Microsoft Defender SmartScreen 的漏洞,SmartScreen 是 Windows 10 和 11 (也就是目前官方支援的用戶端 Windows 版本) 內建的一項功能。SmartScreen 功能最早在 Windows 8 推出,是一項 Windows 內建功能,其設計目的是要在使用者存取惡意網址或檔案時發出警告。正如我們稍早提到,所有當前官方支援的用戶端 Windows 版本都受此漏洞影響。
趨勢科技針對 CVE-2024-21412 的防護
除了 Microsoft 正式發布的修補更新之外,趨勢科技的客戶從今年 1 月 17 日起便可透過虛擬修補來防範 CVE-2024-21412 漏洞。完整的趨勢科技解決方案列表,請至這裡參閱我們的知識庫文章。
許多企業也許會急著要求緊急應變團隊盡快測試及部署 Microsoft 的正式修補更新,但趨勢科技的客戶其實不須變更既有的修補流程,因為他們已經受到防護。除此之外,在許多情況下,套用修補更新通常需要重新開機,這一點跟採用虛擬修補有很大的不同,因為後者不需重新開機。
CVE-2024-21412 漏洞攻擊得逞的潛在衝擊
Water Hydra 會利用社交工程技巧來誘騙受害者點選惡意連結,進而攻擊 CVE-2024-21412 漏洞,接著駭客就能入侵受害者的主機並植入惡意檔案。Water Hydra 的動機一向是為了賺錢,但其他駭客集團的動機可能不同,他們攻擊漏洞可能是為了其他目的,例如從事網路間諜行動或造成破壞。
一般來說,漏洞攻擊 (尤其是零時差漏洞) 通常會為企業帶來嚴重風險,其中一項風險就是資料外洩,因為駭客在入侵系統之後,就可以蒐集機敏資料,將關鍵資訊外洩。資料外洩的後果可能導致違規罰鍰、訴訟費用、商譽損失等等,造成嚴重的財務損失。同時,零時差攻擊也可能打斷企業營運造成停機、生產力損失以及客戶不滿。
主動研究的重要性
趨勢科技除了為客戶提供防護之外,更會主動發掘網路駭客最新的攻擊工具、手法與程序 (TTP) 以及駭客利用的時事,例如 CVE-2024-21412 的研究以及 Water Hydra 如何利用此漏洞發動攻擊,如此就能讓客戶預先了解潛在威脅並主動做好防禦。
透過獨立漏洞懸賞計畫來發掘與修正零時差漏洞
漏洞懸賞計畫讓趨勢科技迅速發掘資安漏洞,進而在駭客攻擊漏洞之前預先提供解方。此外,這類懸賞計畫還能吸引更多的測試人員與漏洞研究人員,不但能提高發現更多漏洞的機率,還能合作開發資安防護來防範漏洞並保護客戶。我們的 ZDI 漏洞懸賞計畫多年來發掘了大量的漏洞,未來也將繼續負責任地通報零時差漏洞。
2023 年,ZDI 平均可提早 51 天為 Microsoft 採集的漏洞提供虛擬修補,至於 ZDI 採集的漏洞則可比廠商的修補更新提早 96 天。
結論
有鑑於零時差漏洞攻擊得逞所帶來的潛在後果,資安長 (CISO) 與其他企業決策者很重要一點就是要採取一套多層式的方法來防範與解決零時差漏洞的風險。我們建議企業可在以下幾個領域導入最佳實務原則:
- 漏洞管理:建立嚴密的漏洞管理流程來持續發掘、判斷優先次序以及矯整個 IT 基礎架構的漏洞。
- 威脅情報:密切監控威脅情報來源與平台,以便隨時掌握最新的威脅 (包括零時差漏洞),並適時地主動調整資安措施。
- 修補更新管理:建立嚴格的修補更新管理程序以確保能及時部署廠商發布的資安修補與更新,盡量縮短暴露於零時差漏洞的時間。
- 事件回應:擬定並定期測試事件回應計畫,這樣才能迅速有效地回應零時差攻擊,包括:控制、清除及復原工作。