Check Point Software Technologies раскрыла новые сведения о CVE-2024-38112, уязвимости нулевого дня в Windows, которая недавно была устранена в рамках ежемесячного выпуска обновлений Patch Tuesday. Уязвимость, которая уже была использована в реальных атаках, была обнаружена Хайфеем Ли, ведущим исследователем уязвимостей в Check Point.
Технические детали уязвимости
Согласно Microsoft, уязвимость представляет собой проблему подделки в платформе Windows MSHTML и имеет оценку CVSS 7.5. Для эксплуатации уязвимости злоумышленнику необходимо отправить жертве вредоносный файл, который жертва должна будет выполнить.
В ветке на X (ранее Twitter) Ли выразил некоторое разочарование по поводу того, как Microsoft выпустила патч раньше ожидаемого срока без уведомления Check Point. Однако позже Microsoft связалась с Ли для разрешения недоразумения и улучшения координации в будущем.
Check Point Research опубликовала блог-пост, автором которого является Ли, предоставив технические детали о CVE-2024-38112. В посте было раскрыто, что злоумышленники использовали вредоносные файлы Windows Internet Shortcut, замаскированные под PDF, чтобы получить удаленное выполнение кода на машинах жертв.
Эксплуатация через устаревший код
Несмотря на то, что Internet Explorer больше не поддерживается официально, наличие его кода в операционной системе Windows позволяет злоумышленникам эксплуатировать уязвимость даже на системах без установленного IE. Наблюдаемые атаки включали заманивание жертв на клик по .url файлам, которые открывали устаревший браузер IE и посещали URL, контролируемый злоумышленником.
Хотя личности злоумышленников остаются неизвестными, менеджер исследовательской группы Check Point Эли Смаджа заявил, что за активностью угроз стояли как минимум две отдельные кампании. Один из злоумышленников имел историю инфостилеров и нацеливался на пользователей в Турции и Вьетнаме.
В целом, обнаружение CVE-2024-38112 подчеркивает продолжающиеся вызовы в области кибербезопасности и важность координированного раскрытия информации между исследователями и поставщиками для защиты пользователей от потенциальных эксплойтов.
Александр Кулафи - старший новостной писатель по информационной безопасности и ведущий подкастов для TechTarget Editorial.