Neseniai ištaisytas „Windows MSHTML klaidinimo pažeidžiamumas“, pažymėtas CVE-2024-43461, dabar pažymėtas kaip anksčiau išnaudotas, nes jį panaudojo „Void Banshee APT“ įsilaužimo grupė.
Kai pirmą kartą buvo atskleista 2024 m. rugsėjo mėn. pataisų antradienį, „Microsoft“ nepažymėjo pažeidžiamumo kaip anksčiau išnaudoto. Tačiau penktadienį „Microsoft“ atnaujino CVE-2024-43461 įspėjimą, nurodydama, kad jis buvo išnaudotas atakose prieš jį ištaisant.
Defekto atradimas buvo priskirtas Peteriui Girnusui, vyresniajam „Trend Micro“ „Zero Day“ grėsmių tyrėjui, kuris „BleepingComputer“ sakė, kad CVE-2024-43461 trūkumas buvo naudojamas „Void Banshee“ per nulinės dienos atakas, kad įdiegtų informaciją vagiančią kenkėjišką programą.
Void Banshee yra APT įsilaužimo grupė, kurią pirmą kartą stebėjo Trend Micro ir kuri taikosi į Šiaurės Amerikos, Europos ir Pietryčių Azijos organizacijas, siekdama pavogti duomenis ir siekdama finansinės naudos.
CVE-2024-43461 nulinė diena
Liepos mėn. „Check Point Research“ ir „Trend Micro“ pranešė apie tas pačias atakas, kurios išnaudojo „Windows 0-days“, kad užkrėstų įrenginius „Atlantida“ informacijos vagysčiu, naudojamu slaptažodžiams, autentifikavimo slapukams ir kriptovaliutų piniginėms pavogti iš užkrėstų įrenginių.
Atakos naudojo nulį dienų, kurios buvo stebimos kaip CVE-2024-38112 (ištaisyta liepos mėn.) ir CVE-2024-43461 (ištaisyta šį mėnesį), kaip atakų grandinės dalis.
CVE-2024-38112 nulinės dienos atradimas buvo priskirtas Check Point tyrėjui Haifei Li, kuris teigia, kad jis buvo naudojamas norint priversti Windows atidaryti kenkėjiškas svetaines naudojant Internet Explorer, o ne Microsoft Edge paleidžiant specialiai sukurtus sparčiųjų klavišų failus.
„Konkrečiai, užpuolikai naudojo specialius „Windows Internet Shortcut“ failus (.url plėtinio pavadinimą), kuriuos spustelėjus būtų iškviesta nebenaudojama „Internet Explorer“ (IE), kad apsilankytų užpuoliko valdomame URL“, – paaiškino Li liepos mėnesio „Check Point Research“ ataskaitoje. .
Šie URL buvo naudojami norint atsisiųsti kenkėjišką HTA failą ir paskatinti vartotoją jį atidaryti. Atidarius, bus paleistas scenarijus, skirtas įdiegti „Atlantida“ informacijos vagystę.
HTA failuose buvo naudojama kita nulinė diena, pažymėta kaip CVE-2024-43461, kad paslėptų HTA failo plėtinį ir kad failas būtų rodomas kaip PDF, kai „Windows“ paragino vartotojus, ar jį reikia atidaryti, kaip parodyta toliau.
ZDI tyrėjas Peteris Girnus sakė „BleepingComputer“, kad CVE-2024-43461 trūkumas taip pat buvo naudojamas „Void Banshee“ atakose, siekiant sukurti CWE-451 sąlygą naudojant HTA failų pavadinimus, kuriuose buvo 26 užkoduoti Brailio rašto tarpų simboliai (%E2%A0%80), kad būtų galima paslėpti. .hta plėtinys.
Kaip matote toliau, failo pavadinimas prasideda kaip PDF failas, bet apima dvidešimt šešis pasikartojančius užkoduotus Brailio tarpų simbolius (%E2%A0%80), po kurių eina paskutinis plėtinys „.hta“.
Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta
Kai „Windows“ atidaro šį failą, Brailio rašto tarpo simboliai išstumia HTA plėtinį už vartotojo sąsajos ribų, o pažymėtas tik „…' eilutę „Windows“ raginimuose, kaip parodyta toliau. Dėl to HTA failai buvo rodomi kaip PDF failai, todėl labiau tikėtina, kad jie bus atidaryti.
Šaltinis: Trend Micro
Įdiegęs saugos naujinimą CVE-2024-43461, Girnus sako, kad tarpas nėra pašalintas, bet dabar Windows rodo tikrąjį .hta failo plėtinį raginimuose.
Šaltinis: Petras Girnus
Deja, šis pataisymas nėra tobulas, nes įtrauktas tarpas greičiausiai vis tiek suklaidins žmones ir manys, kad failas yra PDF, o ne HTA failas.
Rugsėjo pataisos antradienį „Microsoft“ ištaisė tris kitas aktyviai išnaudotas nulines dienas, įskaitant CVE-2024-38217, kuri buvo naudojama LNK stabdymo atakose, siekiant apeiti žiniatinklio saugos funkciją.