Про уязвимость Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213). Уязвимость вышла в рамках августовского Microsoft Patch Tuesday (хотя ZDI пишут, что MS исправили её раньше, в июне).

Уязвимость позволяет злоумышленникам обходить функцию безопасности SmartScreen, защищающую пользователей от запуска потенциально вредоносных файлов, скаченных из Интернет.

В чём суть. Есть такой набор расширений над HTTP для совместной работы с файлами - WebDAV.

🔹 К WebDAV шаре можно обращаться через веб-браузер:

http://10.37.129.2/example_webdav_folder/somefile

🔹 А можно через Windows Explorer (как к SMB):

\\10.37.129.2@80\example_webdav_folder

И при копировании из шары через Windows Explorer метка Mark-of-the-Web почему-то не проставлялась. 🤷‍♂️ Отсюда название "Copy2Pwn". 😏

Исследователи ZDI обнаружили признаки эксплуатации уязвимости в марте 2024 в семплах, связанных с оператором зловреда DarkGate.