Fortinet的团队表示,他们发现了多起针对CVE-2024-21412的实际攻击。这个漏洞被归类为安全绕过的漏洞,允许攻击者利用 .lnk文件中的嵌入式URL,而不触发SmartScreen组件。
虽然微软在二月修补了这个漏洞,但仍有许多的Windows系统未修补,使得针对这个漏洞的攻击对犯罪黑客来说仍然值得一试。
一般情况下,当一个恶意软件试图执行时,Windows Defender会隔离它并向用户发送SmartScreen通知,进而防止任何进一步的感染或恶意活动。
然而,如果攻击程序和命令经过特殊设计并放置在 .lnk连接文件中的URL内,恶意软件攻击就可以在不被SmartScreen发现的情况下执行。
Fortinet全球安全策略师阿米尔‧拉克哈尼(Aamir Lakhani)表示,一旦利用了这个漏洞,攻击者就可以使用多种方式来执行恶意负载。
该团队发现网络犯罪分子使用了各种技术,从将可执行文件伪装成更无害的文件类型,到更复杂的方法,如 .DLL侧载和将恶意软件程序代码放入合法程序。
“最常见的攻击途径是通过钓鱼电子邮件发生的初始攻击。利用这个漏洞的攻击,一开始就是从包含恶意连接的钓鱼电子邮件开始的。”Lakhani解释道,这是黑客最常利用的手法。通过发送钓鱼邮件,这些邮件里会藏有坏掉的连接。当用户不小心点了这个连接,计算机就有可能被感染恶意软件。
“这些电子邮件的内容都是使用与医疗保险计划、交通通知和税务相关的诱饵来欺骗个人和组织。”
拉克哈尼指出,在少数情况下,还有一些更奇特的伪装攻击负载的方法。“还有其他初始途径。”这位研究人员解释道。
“黑客还有一个常用的手法,就是利用“开放式重定向”的连接。 这些连接会滥用Google DoubleClick的开放式重定向功能,将用户引导到被入侵的服务器,也就是说,这些服务器上藏有恶意程序,等着攻击用户的计算机。”
最终,该漏洞将导致安装一系列标准恶意软件功能,包括后门访问受感染计算机、窃取凭证、远程键盘记录和活动关注。
幸好,这个漏洞对于大多数用户和系统管理员来说,修复起来相对简单。只要更新Windows系统(或者在过去五个月内已经更新过),就可以解决这个漏洞。此外,系统管理员应该提醒用户,不要打开来自不信任来源的电子邮件附件。
