Недавно устраненная уязвимость в Windows, известная как «уязвимость подделки MSHTML» и отслеживаемая под CVE-2024-43461, была переклассифицирована как ранее эксплуатируемая после ее использования в атаках, организованных хакерской группой Void Banshee APT. Изначально раскрытая во время сентябрьского Patch Tuesday 2024 года, Microsoft не обозначила уязвимость как ранее эксплуатируемую в то время. Однако недавнее обновление консультативного отчета CVE-2024-43461 подтвердило ее эксплуатацию до исправления.
Уязвимость CVE-2024-43461
Эта уязвимость была обнаружена Питером Гирнусом, старшим исследователем угроз в инициативе Zero Day компании Trend Micro. В комментариях для BleepingComputer Гирнус указал, что уязвимость CVE-2024-43461 была использована в атаках нулевого дня группой Void Banshee для развертывания вредоносного ПО, крадущего информацию. Эта APT-группа, впервые идентифицированная Trend Micro, нацеливается на организации в Северной Америке, Европе и Юго-Восточной Азии с целью извлечения конфиденциальных данных для финансовой выгоды.
В июле как Check Point Research, так и Trend Micro сообщили об атаках, которые использовали уязвимости нулевого дня в Windows для компрометации устройств с помощью инфостилера Atlantida, инструмента, предназначенного для кражи паролей, аутентификационных куки и криптовалютных кошельков с пораженных систем. Эти атаки использовали две уязвимости нулевого дня: CVE-2024-38112, которая была исправлена в июле, и CVE-2024-43461, которая получила исправление в этом месяце, формируя часть более широкой цепочки атак.
Обнаружение уязвимости CVE-2024-38112 было приписано исследователю Check Point Хайфею Ли, который объяснил, что она использовалась для манипуляции Windows с целью открытия вредоносных веб-сайтов в Internet Explorer вместо Microsoft Edge при запуске специально созданных файлов ярлыков. «В частности, атакующие использовали специальные файлы ярлыков Windows Internet (.url расширение), которые при нажатии вызывали устаревший Internet Explorer (IE) для перехода на URL, контролируемый атакующим», — подробно описал Ли в июльском отчете.
Эти URL способствовали загрузке вредоносного файла HTA, побуждая пользователей открыть его. При открытии выполнялся скрипт, приводящий к установке инфостилера Atlantida. Файлы HTA умело использовали уязвимость нулевого дня CVE-2024-43461 для сокрытия своего истинного расширения, представляя себя как PDF-файлы во время запроса Windows, тем самым увеличивая вероятность взаимодействия пользователя.
Гирнус подробно рассказал об эксплуатации, отметив, что уязвимость CVE-2024-43461 позволяла создавать условие CWE-451 через имена файлов HTA, которые включали 26 закодированных символов пробела Брайля (%E2%A0%80), эффективно скрывая расширение .hta. Имя файла выглядело как PDF, но включало эти символы Брайля с последующим расширением .hta, как показано ниже:
Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta
Когда Windows пыталась открыть этот файл, символы пробела Брайля вытесняли расширение HTA из видимого интерфейса, оставляя только строку «...». Это умное манипулирование делало файлы HTA похожими на безобидные PDF-файлы, тем самым увеличивая шансы на их случайное выполнение пользователями.
После установки обновления безопасности для CVE-2024-43461 Гирнус отметил, что хотя пробелы больше не удаляются, Windows теперь точно отображает расширение .hta в запросах.
