ITблог
Алексея Черемных
Новое:
Уязвимость BDU:2025-00282 (CVE-2025-21334) в Hyper-V Windows
Уязвимость BDU:2025-00420 (CVE-2025-23018) протоколов туннелирования пакетов IPv4-in-IPv6 и IPv6-in-IPv4
Уязвимость BDU:2025-03867 (CVE-2025-2945) в pgAdmin 4
Уязвимость BDU:2024-09433 (CVE-2024-51774) в qBittorrent
Уязвимость BDU:2025-00281 (CVE-2024-55591) в FortiOS и FortiProxy
Уязвимость механизма безопасности обработки .url в Windows
Уязвимость механизма безопасности обработки .url в Windows
Категория: Программы Теги: Уязвимости Опубликовано: 11 апреля 2025

Уязвимость BDU:2024-01320 (CVE-2024-21412) механизма безопасности обработки .url в Windows

Уязвимость BDU:2024-01320 (CVE-2024-21412) затрагивает механизм безопасности обработки файлов Internet Shortcut Files (.url) в операционных системах Windows. Она позволяет злоумышленникам обходить защиту Microsoft Defender SmartScreen, что приводит к выполнению произвольного кода при открытии специально сформированного файла. Уязвимость связана с некорректной обработкой Mark-of-the-Web (MotW) — метки, которая помечает файлы, загруженные из ненадёжных источников (например, из интернета). В результате эксплойта файлы, полученные извне, не вызывают предупреждений системы безопасности, что делает атаку скрытой для пользователя.

CVSS 3.0: 8,1 AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

Технический анализ механизма уязвимости

  1. Обход Mark-of-the-Web
    Обычно при загрузке файла из интернета, Windows добавляет MotW, чтобы предупредить пользователя о потенциальной угрозе. BDU:2024-01320 (CVE-2024-21412) позволяет обойти это ограничение через цепочку перенаправлений. Эксплойт использует два файла .url:

    • Первый файл (.url) перенаправляет на WebDAV-сервер злоумышленника.

    • Второй файл (.url) ссылается на вредоносный .MSI-установщик, размещённый на том же сервере.
      Из-за ошибки в обработке MotW система не распознаёт конечный файл как ненадёжный, что позволяет запустить его без предупреждений.

  2. Специфика эксплуатации
    Для успешной атаки требуется:

    • Пользовательское взаимодействие: жертва должна открыть фишинговый PDF или перейти по ссылке, ведущей к первому .url-файлу.

    • Доступ к интернету: злоумышленник использует открытые редиректы (например, через Google DoubleClick) для маскировки источника атаки.

    • Отсутствие патчей: уязвимы версии Windows, для которых не установлено обновление от 13 февраля 2024 года.

Эксплуатация в атаках

Киберпреступные группы уже используют BDU:2024-01320 (CVE-2024-21412) в рамках многоступенчатых атак:

  1. Фишинговые PDF
    Жертвы получали PDF-документы с кнопкой, ведущей на поддельную страницу через Google DoubleClick. Редирект маскировал переход на компрометированный сервер.

  2. Цепочка .url-файлов
    Первый файл (например, JANUARY-25-2024-FLD765.url) перенаправлял на WebDAV, где размещался второй .url-файл (gamma.url), ссылающийся на .MSI-установщик.

  3. Поддельные установщики
    .MSI-файлы маскировались под легитимное ПО (NVIDIA, iTunes). Внутри содержался вредоносный DLL-файл, который через механизм DLL sideloading запускал AutoIt-скрипт для дешифровки вредоносного ПО.

  4. Загрузка вредоносного ПО
    Финальная стадия включала в себя:

    • Использование кастомного PE-лоадера для выполнения вредоносного ПО в памяти.

    • Регистрацию на C&C-сервере и кражу данных.

Условия успешной эксплуатации

  1. Внешние атаки:

    • Злоумышленник действует удалённо, не требуя доступа к внутренней сети.

    • Фишинговые материалы распространяются через email, мессенджеры или поддельные веб-страницы.

  2. Внутренние сценарии:

    • Если атакующий уже находится внутри сети (например, через компрометацию учётных данных), он может использовать локальные ресурсы (корпоративную почту, общие папки) для доставки .url-файлов.

    • Внутренние фишинговые атаки часто эффективнее, так как пользователи склонны доверять внутренним источникам.

  3. Требования к системе:

    • Отсутствие обновления безопасности для Windows.

    • Наличие версий ОС, перечисленных в бюллетене Microsoft (Windows 10/11, Server 2019/2022).

Рекомендации по защите

  1. Установка патчей:

    • Применить обновления Microsoft от 13.02.2024.

    • Регулярно обновлять ОС и ПО.

  2. Ограничение прав пользователей:

    • Запретить запуск .MSI и .url-файлов из ненадёжных источников через Group Policy.

    • Использовать AppLocker для блокировки недоверенных DLL.

  3. Обучение сотрудников:

    • Проводить тренинги по кибербезопасности, объясняя риски открытия вложений из непроверенных источников.

  4. Технические меры:

    • Включить Microsoft Defender SmartScreen и настроить его на блокировку подозрительных файлов.

    • Использовать EDR-решения для детектирования аномалий в памяти.

    • Мониторить сетевую активность на предмет подключений к необычным доменам.

  5. Сетевые контрмеры:

    • Блокировать открытые редиректы через веб-фильтры.

    • Изолировать критические системы с помощью сегментации сети.

Алексей Черемных Алексей Черемных
54

Похожие материалы:

Что за атака index.php?option= com_jce&task=plugin& plugin=imgmanager
9 мая 2023
Что за атака index.php?option= com_jce&task=plugin& plugin=imgmanager
Что за атака GET /include/dialog/ select_soft_post.php
10 мая 2023
Что за атака GET /include/dialog/ select_soft_post.php
Уязвимость CVE-2023-28771 позволяет выполнять удаленно команды на устройствах Zyxel
16 июля 2023
Уязвимость CVE-2023-28771 позволяет выполнять удаленно команды на устройствах Zyxel
Как запретить скачивание exe файлов в браузере?
25 сентября 2023
Как запретить скачивание exe файлов в браузере?
Что за атака GET /setup.cgi?next_file=netgear.cfg& todo=syscmd& cmd=rm+-rf+/tmp/*;wget+
26 апреля 2023
Что за атака GET /setup.cgi?next_file=netgear.cfg& todo=syscmd& cmd=rm+-rf+/tmp/*;wget+
Что за атака GET /wp-includes/ wlwmanifest.xml HTTP/1.0
9 мая 2023
Что за атака GET /wp-includes/ wlwmanifest.xml HTTP/1.0