Μια πρόσφατα διορθωμένη “ευπάθεια πλαστογράφησης MSHTML των Windows” που παρακολουθείται σύμφωνα με το CVE-2024-43461 έχει πλέον επισημανθεί ως εκμετάλλευση στο παρελθόν αφού χρησιμοποιήθηκε σε επιθέσεις από την ομάδα πειρατείας Void Banshee APT.
Όταν αποκαλύφθηκε για πρώτη φορά ως μέρος της ενημέρωσης κώδικα Τρίτης Σεπτεμβρίου 2024, η Microsoft δεν είχε επισημάνει την ευπάθεια όπως είχε γίνει στο παρελθόν. Ωστόσο, την Παρασκευή, η Microsoft ενημέρωσε το CVE-2024-43461 συμβουλευτικό να υποδείξει ότι είχε γίνει εκμετάλλευση σε επιθέσεις πριν αποκατασταθεί.
Η ανακάλυψη του ελαττώματος αποδόθηκε σε Peter Girnusανώτερος ερευνητής απειλών στο Trend Micro’s Zero Day, ο οποίος είπε στο BleepingComputer ότι το ελάττωμα CVE-2024-43461 αξιοποιήθηκε σε επιθέσεις zero-day από το Void Banshee για την εγκατάσταση κακόβουλου λογισμικού που κλέβει πληροφορίες.
Το Void Banshee είναι μια ομάδα hacking APT παρακολουθήθηκε για πρώτη φορά από την Trend Micro που στοχεύει οργανισμούς στη Βόρεια Αμερική, την Ευρώπη και τη Νοτιοανατολική Ασία για την κλοπή δεδομένων και για οικονομικό όφελος.
Το CVE-2024-43461 μηδενική ημέρα
Τον Ιούλιο, η Check Point Research και η Trend Micro ανέφεραν τις ίδιες επιθέσεις που εκμεταλλεύτηκαν τα Windows zero-days για να μολύνουν συσκευές με το info-stealer Atlantida, που χρησιμοποιείται για την κλοπή κωδικών πρόσβασης, cookies ελέγχου ταυτότητας και πορτοφολιών κρυπτονομισμάτων από μολυσμένες συσκευές.
Οι επιθέσεις χρησιμοποίησαν zero-days που παρακολουθούνται ως CVE-2024-38112 (διορθώθηκε τον Ιούλιο) και CVE-2024-43461 (διορθώθηκε αυτόν τον μήνα) ως μέρος της αλυσίδας επιθέσεων.
Η ανακάλυψη του CVE-2024-38112 zero-day αποδόθηκε στον ερευνητή του Check Point, Haifei Li, ο οποίος λέει ότι χρησιμοποιήθηκε για να εξαναγκάσει τα Windows να ανοίγουν κακόβουλους ιστότοπους στον Internet Explorer αντί του Microsoft Edge κατά την εκκίνηση των ειδικά δημιουργημένων αρχείων συντομεύσεων.
«Συγκεκριμένα, οι επιτιθέμενοι χρησιμοποίησαν ειδικά αρχεία συντόμευσης διαδικτύου των Windows (όνομα επέκτασης .url), τα οποία, όταν τα πατούσαν, θα καλούσαν τον αποσυρθέντα Internet Explorer (IE) να επισκεφθεί τη διεύθυνση URL που ελέγχεται από τους εισβολείς», εξήγησε ο Λι σε Έκθεση Έρευνας Check Point Ιουλίου.
Αυτές οι διευθύνσεις URL χρησιμοποιήθηκαν για τη λήψη ενός κακόβουλου αρχείου HTA και την προτροπή του χρήστη να το ανοίξει. Όταν άνοιγε, θα έτρεχε ένα σενάριο για να εγκαταστήσει το πρόγραμμα κλοπής πληροφοριών Atlantida.
Τα αρχεία HTA χρησιμοποίησαν μια διαφορετική ημέρα μηδενικής παρακολούθησης ως CVE-2024-43461 για να αποκρύψουν την επέκταση αρχείου HTA και να κάνουν το αρχείο να εμφανίζεται ως PDF όταν τα Windows ζητούσαν από τους χρήστες να αποφασίσουν εάν πρέπει να ανοίξει, όπως φαίνεται παρακάτω.
Ο ερευνητής του ZDI Peter Girnus είπε στο BleepingComputer ότι το ελάττωμα CVE-2024-43461 χρησιμοποιήθηκε επίσης στο Άκυρες επιθέσεις Banshee να δημιουργήσετε ένα Κατάσταση CWE-451 μέσω ονομάτων αρχείων HTA που περιλάμβαναν 26 κωδικοποιημένους χαρακτήρες κενού διαστήματος μπράιγ (%E2%A0%80) για απόκρυψη της επέκτασης .hta.
Όπως μπορείτε να δείτε παρακάτω, το όνομα του αρχείου ξεκινά ως αρχείο PDF αλλά περιλαμβάνει είκοσι έξι επαναλαμβανόμενους κωδικοποιημένους χαρακτήρες κενού διαστήματος μπράιγ (%E2%A0%80) ακολουθούμενη από μια τελική επέκταση «.hta».
Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta
Όταν τα Windows ανοίγουν αυτό το αρχείο, οι χαρακτήρες κενού διαστήματος μπράιγ σπρώχνουν την επέκταση HTA έξω από τη διεπαφή χρήστη, οριοθετημένη μόνο με ένα «…’ συμβολοσειρά στις προτροπές των Windows, όπως φαίνεται παρακάτω. Αυτό έκανε τα αρχεία HTA να εμφανίζονται ως αρχεία PDF, καθιστώντας πιο πιθανό να ανοίξουν.
Μετά την εγκατάσταση της ενημερωμένης έκδοσης ασφαλείας για το CVE-2024-43461, ο Girnus λέει ότι το κενό διάστημα δεν έχει αφαιρεθεί, αλλά τα Windows εμφανίζουν τώρα την πραγματική .hta επέκταση για το αρχείο στις προτροπές.
Δυστυχώς, αυτή η επιδιόρθωση δεν είναι τέλεια, καθώς το κενό διάστημα που περιλαμβάνεται πιθανότατα θα εξακολουθεί να μπερδεύει τους ανθρώπους να πιστεύουν ότι το αρχείο είναι αρχείο PDF και όχι HTA.
Η Microsoft διόρθωσε τρεις άλλες ενεργά αξιοποιημένες zero-days στην Ενημερωμένη έκδοση κώδικα Τρίτη του Σεπτεμβρίου, συμπεριλαμβανομένου του CVE-2024-38217, το οποίο αξιοποιήθηκε σε επιθέσεις LNK stomping για να παρακάμψει τη δυνατότητα ασφαλείας Mark of the Web.
VIA: bleepingcomputer.com