趨勢科技發現影響數百萬用戶的活躍中漏洞 可讓駭客繞過Windows Defender防護,以便竊取資料和感染勒索病毒

趨勢科技用戶已受保護,呼籲企業採取行動

【2024年2月15日,台北訊】全球網路資安領導廠商趨勢科技(東京證券交易所股票代碼:4704) 今天宣布發現了一個活躍中的Microsoft Windows Defender漏洞正遭到Water Hydra駭客集團所利用並進行猛烈攻擊。

趨勢科技Zero Day Initiative™(ZDI)漏洞懸賞計畫的研究人員於2023年12月31日發現這個活躍中的零時差漏洞(CVE-2024-21412)並向Microsoft揭露,並於2月13日首次對外發布註一。趨勢科技客戶則於2024年1月17日便能自動防範這項漏洞,建議企業應立即採取行動來防止駭客經由此漏洞發動攻擊。

漏洞的最大風險是可能被駭客用來攻擊任何產業或企業,一些以賺錢為動機的持續性滲透攻擊(APT)集團正積極利用此漏洞來滲透外匯交易所,藉此影響高風險的外匯交易市場。

確切來說,駭客會在複雜的零時差攻擊程序當中使用此漏洞來繞過Windows Defender SmartScreen保護機制,讓受害電腦感染DarkMe遠端存取木馬程式(Remote Access Trojan,RAT)以方便竊取資料和感染勒索病毒。

每當趨勢科技發現一個新的零時差漏洞,就會負責任地揭露給廠商。但趨勢科技客戶可在套用廠商正式修補更新之前,預先套用虛擬修補來保護系統以免於漏洞攻擊。相較其他廠商平均需要96天的時間才能為客戶提供實質的防護,趨勢科技平均可在廠商正式發布修補更新的51天前預先提供虛擬修補來保護客戶,這個Microsoft零時差漏洞也不例外。本次所發現的漏洞趨勢科技採用多層式防禦來防範進階威脅,其入侵防護(IPS)功能提供了虛擬修補來全面攔截利用CVE-2024-21412漏洞的攻擊。

根據趨勢科技估計,2023年期間,凡是按部就班套用所有虛擬修補的企業客戶平均可省下100萬美元。趨勢科技營運長(COO)Kevin Simzer表示:「零時差漏洞是駭客越來越常用來達成目標的一種手段,這正是為何我們投入如此龐大的資源來建立威脅情報,這樣我們才能提前在廠商釋出正式修補更新之前好幾個月,預先保護我們的客戶,能夠打造一個更少資安風險的世界是我們的光榮。」

Trend Vision One™能自動偵測重大漏洞,查看所有受影響的端點,同時評估企業整體曝險可能遭受的衝擊。趨勢科技主動管理風險的作法可減少企業在漏洞揭露當天才手忙腳亂的情況,確保客戶在充分的準備下有信心地降低風險。反觀單純依賴舊式端點防護及回應(EDR)的企業,萬一遇到使用進階技巧來躲避偵測的駭客可能就束手無策。

此外,Zero Day Initiative™(ZDI)是當今全球最大的非限定廠商獨立漏洞懸賞計畫,其發掘及供應虛擬修補情報的能力,在以下兩項趨勢科技發現的重大趨勢之下顯得更加重要:

  1. 駭客集團發現的零時差漏洞越來越常被一些國家級駭客集團(如APT28、APT29、APT40)用於攻擊程序當中,藉此擴大攻擊範圍。
  2. CVE-2024-21412本身只是單純地繞過CVE-2023-36025漏洞的修補,這突顯出APT集團多麼容易就能找出廠商局部性修補的弱點並加以迴避。


欲了解此漏洞詳細資訊,請至:https://www.trendmicro.com/en_us/prevent-smartscreen-vulnerability.html

欲了解有關Trend Vision One資安平台的更多資訊,請至:https://www.trendmicro.com/zh_tw/business/products/one-platform.html

註一:微軟已於2月13日公布此漏洞資訊https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21412


關於趨勢科技

趨勢科技為全球網路資安領導廠商,致力建立一個安全的資訊交換世界。憑藉著數十年的資安專業、全球威脅研究以及持續不斷的創新,趨勢科技跨雲端、網路、裝置及端點的網路資安平台隨時守護著全球數十萬家企業機構及數百萬一般使用者。趨勢科技身為雲端及企業網路資安領導廠商,我們的平台專為如 AWS、Microsoft 及 Google 的環境提供最佳化的各種強大進階威脅防禦技術,並具更好可視性可更快更有效的偵測及回應威脅。趨勢科技共有 7000 多名員工,遍布全球 65 國,協助企業機構保護其連網世界。如需更多資訊,請至:www.trendmicro.com