Un groupe de cybercriminels a exploité une vulnérabilité de type zero-day dans la fonction de sécurité SmartScreen de Microsoft pour diffuser le ransomware Magniber.

Le groupe d'analyse des menaces (TAG) de Google a déclaré que cette vulnérabilité, connue sous le nom de CVE-2023-24880, est exploitée depuis au moins le mois de janvier. Les chercheurs du géant de l'internet ont fait part de leurs conclusions à Microsoft le 15 février et un correctif a été publié avec les dernières mises à jour du Patch Tuesday de Microsoft.

La fonction SmartScreen est conçue pour protéger les utilisateurs contre le phishing et les logiciels malveillants, notamment en signalant les fichiers potentiellement malveillants téléchargés sur le web.

L'acteur de la menace à motivation financière qui est derrière le ransomware Magniber a exploité la CVE-2023-24880 pour fournir des fichiers MSI spécialement conçus. Ces fichiers sont signés avec une signature Authenticode invalide, mais ils sont conçus de manière à ce que SmartScreen renvoie une erreur. Ainsi, les utilisateurs ne voient pas s'afficher l'alerte associée à la fonction de sécurité Mark-of-the-Web (MotW), qui est utilisée pour empêcher l'exécution de fichiers potentiellement malveillants provenant d'Internet.

Bien que ces attaques aient contourné SmartScreen, Google a déclaré que son mécanisme de navigation sécurisée avait averti les utilisateurs dans plus de 90 % des cas. 

Google a mis à disposition des détails techniques pour le CVE-2023-24880, ainsi que des indicateurs de compromission (IoC) pour l’attaque Magniber.