Microsoft недавно предоставила обновление по ранее раскрытой уязвимости в Internet Explorer, подтвердив, что недостаток, идентифицированный как CVE-2024-43461, был использован как нулевой день до того, как его удалось исправить. Эта проблема безопасности, оцененная в 8.8 из 10 по шкале CVSS, первоначально описывалась как «важная» уязвимость подмены, и Microsoft ранее заявляла, что она не была использована в дикой природе.
Подробности уязвимости
Уязвимость позволяет злоумышленнику скрыть истинное расширение файла, загруженного в Internet Explorer, используя непечатаемые символы Unicode для обмана пользователей, заставляя их открыть кажущийся безвредным файл. На самом деле это может привести к выполнению вредоносного кода на системе пользователя. Для эффективного использования этого недостатка злоумышленнику, вероятно, потребуется комбинировать его с другими уязвимостями.
Этот конкретный недостаток, уязвимость подмены платформы Windows MSHTML, был сообщен Microsoft Питером Гирнусом из Zero Day Initiative (ZDI) компании Trend Micro. Согласно ZDI, уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Windows, требуя взаимодействия пользователя через посещение вредоносной страницы или открытие вредоносного файла.
Внутренняя команда Microsoft, включая Майкла Мачеллетти, Найи Цзян и человека, известного только как «Адель», также внесла свой вклад в обнаружение CVE-2024-43461. Выяснилось, что эта уязвимость ранее использовалась группой распространителей вредоносного ПО под названием Void Banshee, которая использовала её вместе с другой уязвимостью, CVE-2024-38112, для компрометации систем жертв.
Цепочка эксплуатации
CVE-2024-38112, которая была исправлена в июле, позволяла злоумышленникам использовать специально созданный файл ярлыка Windows Internet для открытия определенного URL в уже снятом с эксплуатации Internet Explorer. Void Banshee использовала эту уязвимость для активации CVE-2024-43461, обманывая пользователей и заставляя их выполнить вредоносный файл HTML Application (.hta), замаскированный под безобидную загрузку. Это в конечном итоге привело к развертыванию вредоносного ПО Atlantida на машинах жертв, позволяя злоумышленникам извлекать конфиденциальные данные, включая сохраненные учетные данные веб-сайтов.
В июле Microsoft признала Хайфея Ли из Check Point Research за обнаружение CVE-2024-38112, хотя ZDI также утверждала, что заслуживает признания за свою роль в выявлении недостатка. Сложности вокруг этих уязвимостей подчеркивают совместный характер исследований в области кибербезопасности, где несколько организаций вносят вклад в выявление и отчетность о угрозах.
Недавние события
Перенесемся в этот месяц: ZDI раскрыла уязвимость подмены типа файла 19 июля, а Microsoft выпустила исправление 10 сентября. Вскоре после этого Microsoft обновила свое уведомление, подтвердив, что CVE-2024-43461 была использована вместе с CVE-2024-38112 до июльского исправления.
В заявлении Microsoft отметила, что исправление для CVE-2024-38112 было направлено на нарушение цепочки эксплуатации, призывая клиентов применить как июльские, так и сентябрьские обновления для комплексной защиты. Однако ZDI указала, что июльское исправление не полностью устранило уязвимость, что потребовало последующего обновления для решения проблемы с расширением файла и повторной активации Internet Explorer.
Дастин Чайлдс, глава отдела осведомленности об угрозах в ZDI, выразил удовлетворение признанием Microsoft ошибки скрытия расширения файла, подчеркнув важность точной отчетности об угрозах для сетевых защитников. Он отметил, что эксплуатация использовала комбинацию уязвимостей, и хотя Microsoft считала июльское исправление достаточным, оно оставило некоторые векторы атаки незащищенными.
По мере того как ландшафт кибербезопасности продолжает развиваться, сотрудничество между организациями, такими как Microsoft, ZDI и Check Point Research, играет ключевую роль в усилении защиты от возникающих угроз.
