Microsoft недавно переклассифицировала ранее устраненную ошибку в обновлении Patch Tuesday за сентябрь как уязвимость нулевого дня. Эта уязвимость, обозначенная как CVE-2024-43461, эксплуатируется группой постоянных угроз высокого уровня, известной как «Void Banshee», с июля. Уязвимость классифицируется как проблема платформенного подмены, удаленно эксплуатируемая в устаревшем браузерном движке MSHTML (Trident), который Microsoft сохраняет в Windows для обратной совместимости.
Затрагивает все поддерживаемые версии Windows
Эта уязвимость затрагивает все поддерживаемые версии Windows, предоставляя удаленным злоумышленникам возможность выполнять произвольный код на пораженных системах. Однако для успешной эксплуатации злоумышленник должен убедить потенциальную жертву посетить вредоносную веб-страницу или кликнуть на небезопасную ссылку.
Изначально Microsoft оценила серьезность этой уязвимости на 8.8 по 10-балльной шкале CVSS при ее раскрытии 10 сентября. На тот момент не было указаний на то, что это уязвимость нулевого дня. 13 сентября Microsoft пересмотрела свою оценку, раскрыв, что злоумышленники активно эксплуатировали эту уязвимость как часть цепочки атак, связанной с CVE-2024-38112, другой уязвимостью платформенного подмены MSHTML, которая была исправлена в июле 2024 года. Microsoft заявила: «Мы выпустили исправление для CVE-2024-38112 в наших июльских обновлениях безопасности, что нарушило эту цепочку атак.»
Для обеспечения полной защиты от эксплуатации уязвимости CVE-2024-43461 Microsoft настоятельно рекомендует клиентам применять патчи из обновлений за июль и сентябрь 2024 года. После обновления Microsoft 13 сентября Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавило эту уязвимость в свою базу известных эксплуатируемых уязвимостей 16 сентября, установив крайний срок внедрения мер по смягчению последствий до 7 октября для федеральных агентств.
CVE-2024-43461 имеет сходство с CVE-2024-38112, позволяя злоумышленникам манипулировать пользовательскими интерфейсами — в частности, браузером — для отображения вводящих в заблуждение данных. Check Point Research, признанная Microsoft за обнаружение CVE-2024-38112, описала уязвимость как позволяющую злоумышленникам отправлять специально созданные URL или файлы интернет-ссылок, которые при клике открывают вредоносный URL в Internet Explorer, даже если браузер отключен. Кроме того, Check Point отметила, что злоумышленники использовали новый метод маскировки вредоносных HTML-приложений (HTA) под безобидные PDF-документы во время своих атак.
Инициатива Zero Day от Trend Micro (ZDI), также заявляющая о своем участии в обнаружении CVE-2024-38112, сообщила, что Void Banshee использовала эту уязвимость для развертывания вредоносного ПО Atlantida на системах Windows. В своих наблюдениях Trend Micro отметила, что злоумышленник заманивал жертв вредоносными файлами, замаскированными под книги в формате PDF, распространяемыми через серверы Discord, сайты обмена файлами и другие каналы. Void Banshee признана финансово мотивированным злоумышленником, нацеленным на организации в Северной Америке, Юго-Восточной Азии и Европе.
Цепочка атак Microsoft из двух уязвимостей
Согласно обновленному совету Microsoft, злоумышленники использовали CVE-2024-43461 как часть скоординированной цепочки атак, которая также включает CVE-2024-38112. Исследователи из Qualys ранее указывали, что эксплойты, нацеленные на CVE-2024-38112, будут столь же эффективны против CVE-2024-43416 из-за их почти идентичной природы. Питер Гирнус, старший исследователь угроз в ZDI, признанный за CVE-2024-43461, объяснил, что злоумышленники использовали CVE-2024-38112 для перехода на HTML-страницу через Internet Explorer с использованием обработчика протокола MHTML в файле .URL. «Эта целевая страница содержит
