Про уязвимость Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213). Уязвимость вышла в рамках августовского Microsoft Patch Tuesday (хотя ZDI пишут, что MS исправили её раньше, в июне).
Уязвимость позволяет злоумышленникам обходить функцию безопасности SmartScreen, защищающую пользователей от запуска потенциально вредоносных файлов, скаченных из Интернет.
В чём суть. Есть такой набор расширений над HTTP для совместной работы с файлами - WebDAV.
🔹 К WebDAV шаре можно обращаться через веб-браузер:
http://10.37.129.2/example_webdav_folder/somefile
🔹 А можно через Windows Explorer (как к SMB):
\\10.37.129.2@80\example_webdav_folder
И при копировании из шары через Windows Explorer метка Mark-of-the-Web почему-то не проставлялась. 🤷♂️ Отсюда название "Copy2Pwn". 😏
Исследователи ZDI обнаружили признаки эксплуатации уязвимости в марте 2024 в семплах, связанных с оператором зловреда DarkGate.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.