Что известно про уязвимость Secu­ri­ty Fea­ture Bypass — SmartScreen Prompt (CVE-2024–29988)? Основная причина, почему её можно выделить в апрельском Microsoft Patch Tues­day — упоминание в блоге ZDI (Zero Day Ini­tia­tive). ZDI считают, что эта уязвимость эксплуатируется в реальных атаках. При том, что Microsoft в настоящее время так НЕ считают. Такая вот странная ситуация. 🤷‍♂️

Уязвимость позволяет обходить функцию безопасности Mark of the Web (MotW). Эта функция помогает защищать устройства пользователей от потенциально вредоносных файлов, загруженных из сети, путём их маркирования. Такая маркировка позволяет приложениям открывать файлы в защищённом режиме или выводить предупреждения о потенциальной опасности. Как сообщают ZDI, злоумышленники посылают эксплоиты в zip-файлах, чтобы избежать детектирования системами EDR/NDR, а затем используют эту уязвимость (и подобные ей) для обхода Mark of the Web и запуска вредоносного ПО на целевых системах.

Исследователь угроз ZDI Питер Гирнус написал в микроблогинговой платформе, что патчи Microsoft для CVE-2024–29988 это вторая часть исправления найденной им ошибки обхода SmartScreen, которая эксплуатируется вживую в кампаниях Water Hydra (Dark­Casi­no) и Dark­Gate. Также Гирнус утверждает, что уязвимость CVE-2024–29988 тесно связана с Secu­ri­ty Fea­ture Bypass — Inter­net Short­cut Files (CVE-2024–21412), которая попала в список трендовых уязвимостей в феврале.