Η CISA έδωσε εντολή στις ομοσπονδιακές υπηρεσίες των ΗΠΑ να προστατεύσουν τα συστήματά τους έναντι ενός σφάλματος πλαστογράφησης μηδενικής ημέρας που έχει επιδιορθωθεί πρόσφατα σε Windows MSHTML που εκμεταλλεύεται η ομάδα πειρατείας Void Banshee APT.
Η ευπάθεια (CVE-2024-43461) αποκαλύφθηκε κατά τη διάρκεια της ενημερωμένης έκδοσης κώδικα Τρίτης αυτού του μήνα και η Microsoft αρχικά την ταξινόμησε ως μη εκμετάλλευση σε επιθέσεις. Ωστόσο, η Microsoft ενημέρωσε την προειδοποίηση την Παρασκευή για να επιβεβαιώσει ότι είχε γίνει εκμετάλλευση σε επιθέσεις πριν επιδιορθωθεί.
Η Microsoft αποκάλυψε ότι οι εισβολείς εκμεταλλεύτηκαν το CVE-2024-43461 πριν από τον Ιούλιο του 2024 ως μέρος μιας αλυσίδας εκμετάλλευσης με το CVE-2024-38112, ένα άλλο σφάλμα πλαστογράφησης MSHTML.
“Κυκλοφορήσαμε μια επιδιόρθωση για το CVE-2024-38112 στις ενημερώσεις ασφαλείας του Ιουλίου 2024 που έσπασε αυτήν την αλυσίδα επιθέσεων”, ανέφερε. “Οι πελάτες θα πρέπει και την ενημέρωση ασφαλείας του Ιουλίου 2024 και του Σεπτεμβρίου 2024 για να προστατευθούν πλήρως.”
Ο Peter Girnus, ο ερευνητής απειλών του Trend Micro Zero Day Initiative (ZDI) που ανέφερε το ελάττωμα ασφαλείας, είπε στο BleepingComputer ότι οι χάκερ του Void Banshee το εκμεταλλεύτηκαν σε επιθέσεις zero-day για να εγκαταστήσουν κακόβουλο λογισμικό που κλέβει πληροφορίες.
Η ευπάθεια επιτρέπει στους απομακρυσμένους εισβολείς να εκτελούν αυθαίρετο κώδικα σε συστήματα Windows που δεν έχουν επιδιορθωθεί, εξαπατώντας τους στόχους να επισκεφτούν μια κακόβουλα δημιουργημένη ιστοσελίδα ή να ανοίξουν ένα κακόβουλο αρχείο.
“Το συγκεκριμένο ελάττωμα υπάρχει στον τρόπο με τον οποίο ο Internet Explorer προτρέπει τον χρήστη μετά τη λήψη ενός αρχείου,” το Συμβουλευτική ZDI εξηγεί. “Ένα επεξεργασμένο όνομα αρχείου μπορεί να προκαλέσει την απόκρυψη της πραγματικής επέκτασης αρχείου, παραπλανώντας τον χρήστη ώστε να πιστέψει ότι ο τύπος αρχείου είναι αβλαβής. Ένας εισβολέας μπορεί να αξιοποιήσει αυτήν την ευπάθεια για να εκτελέσει κώδικα στο πλαίσιο του τρέχοντος χρήστη.”
Χρησιμοποίησαν εκμεταλλεύσεις CVE-2024-43461 για να παραδώσουν κακόβουλα αρχεία HTA καμουφλαρισμένα ως έγγραφα PDF. Για να κρύψουν την επέκταση .hta, χρησιμοποίησαν 26 κωδικοποιημένους χαρακτήρες κενού διαστήματος μπράιγ (%E2%A0%80).
Όπως αποκαλύφθηκε τον Ιούλιο από την Check Point Research και την Trend Micro, το κακόβουλο λογισμικό κλοπής πληροφοριών Atlantida που αναπτύσσεται σε αυτές τις επιθέσεις μπορεί να βοηθήσει στην κλοπή κωδικών πρόσβασης, cookies ελέγχου ταυτότητας και πορτοφολιών κρυπτονομισμάτων από μολυσμένες συσκευές.
Το Void Banshee είναι μια ομάδα hacking APT εντοπίστηκε για πρώτη φορά από την Trend Micro και είναι γνωστό για τη στόχευση οργανισμών σε ολόκληρη τη Βόρεια Αμερική, την Ευρώπη και τη Νοτιοανατολική Ασία για οικονομικό όφελος και για κλοπή δεδομένων.
Δόθηκαν τρεις εβδομάδες στις ομοσπονδιακές υπηρεσίες για να επιδιορθώσουν
Σήμερα, η CISA έχει προστέθηκε την ευπάθεια MSHTML πλαστογράφησης στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών, χαρακτηρίζοντάς την ως ενεργά αξιοποιημένη και παραγγέλνοντας τις ομοσπονδιακές υπηρεσίες να ασφαλίσουν τα ευάλωτα συστήματα εντός τριών εβδομάδων έως τις 7 Οκτωβρίου, όπως ορίζεται από την δεσμευτική επιχειρησιακή οδηγία (BOD) 22-01.
«Αυτοί οι τύποι τρωτών σημείων αποτελούν συχνούς φορείς επιθέσεων για κακόβουλους κυβερνοπαραγωγούς και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση», ανέφερε η υπηρεσία κυβερνοασφάλειας.
Αν και ο κατάλογος KEV της CISA εστιάζει κυρίως στην ειδοποίηση των ομοσπονδιακών υπηρεσιών σχετικά με ελαττώματα ασφαλείας που πρέπει να επιδιορθώσουν το συντομότερο δυνατό, οι ιδιωτικοί οργανισμοί σε όλο τον κόσμο συμβουλεύονται επίσης να δώσουν προτεραιότητα στον μετριασμό αυτής της ευπάθειας για τον αποκλεισμό συνεχιζόμενων επιθέσεων.
Η Microsoft έχει επιδιορθώσει τρεις άλλες ενεργά αξιοποιημένες zero-days στην Τρίτη του Σεπτεμβρίου 2024. Αυτό περιλαμβάνει το CVE-2024-38217, μια ευπάθεια που αξιοποιείται σε επιθέσεις με το LNK stomping τουλάχιστον από το 2018 για να παρακαμφθεί το Smart App Control και το χαρακτηριστικό ασφαλείας Mark of the Web (MotW).
VIA: bleepingcomputer.com
