Уязвимость безопасности Microsoft выявляет давние риски
Недавнее событие от Microsoft омрачило прошлую неделю Patch Tuesday, выявив уязвимость безопасности, которая напоминает времена Internet Explorer. Этот давно спящий код, скрытый в операционных системах сотен миллионов ПК, стал целью для злоумышленников, обнаружив значительный пробел в безопасности, требующий немедленного внимания.
Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) оперативно включило CVE-2024-43461 в свой каталог известных эксплуатируемых уязвимостей (KEV). Эта уязвимость характеризуется как искажение пользовательского интерфейса в платформе Microsoft Windows MSHTML, позволяя злоумышленникам эффективно подделывать веб-страницы. CISA указала, что эта уязвимость была использована в тандеме с CVE-2024-38112, угрозой, о которой сообщалось в июле.
Компания Check Point, занимающаяся кибербезопасностью, подняла тревогу еще в июле, отметив, что злоумышленники используют специализированные файлы Windows Internet Shortcut для запуска URL через Internet Explorer вместо более современных браузеров, таких как Chrome или Edge. Эта тактика дает злоумышленникам явное преимущество, позволяя им эксплуатировать уязвимости даже на системах с последними версиями Windows 10 и 11.
CISA установила крайний срок обновления всех ПК с Windows до 7 октября, что в первую очередь направлено на федеральных служащих, но часто соблюдается различными государственными и частными организациями. Эта инициатива подчеркивает миссию CISA по оказанию помощи организациям в управлении уязвимостями и опережении возникающих угроз.
Для тех, кто обновил свои системы с июля, одна из двух уязвимостей в этой цепочке уже была устранена. Последние обновления исправят вторую уязвимость. Инициатива Zero Day от Trend Micro подчеркнула, что эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Microsoft Windows, обычно через вредоносную веб-страницу, на которую пользователи попадают обманным путем.
Microsoft разъяснила, что платформа MSHTML используется режимом Internet Explorer в Microsoft Edge и другими приложениями через элемент управления WebBrowser. Чтобы обеспечить всестороннюю защиту, компания рекомендует клиентам, устанавливающим только обновления безопасности, также применять кумулятивные обновления Internet Explorer, устраняющие эту уязвимость.
Более того, Microsoft отметила, что CVE-2024-43461 была использована как часть цепочки атак, связанной с CVE-2024-38112 до июля 2024 года. Исправление для CVE-2024-38112 было выпущено в июле, эффективно разрывая эту цепочку атак. Однако пользователи, которые не обновлялись с тех пор, остаются уязвимыми для обеих угроз, пропустив предыдущий крайний срок CISA 30 июля.
Помимо устранения недавних уязвимостей MSHTML, сентябрьский Patch Tuesday также решил четыре другие уязвимости нулевого дня, что привело к установлению крайнего срока обновления 1 октября от CISA. Эта ситуация отражает недавние события с Android и Chrome, подчеркивая необходимость для организаций справляться с несколькими мандатами CISA с различными сроками.
Как сообщалось ранее, атрибуция эксплуатации уязвимостей MSHTML была связана с группой постоянных угроз высокого уровня под названием Void Banshee. Эта группа использует такие тактики, как заманивание жертв архивами zip с вредоносными файлами, замаскированными под PDF-книги, распространяемыми через облачные платформы обмена файлами, серверы Discord и онлайн-библиотеки. Trend Micro предупреждает, что способность APT-групп вроде Void Banshee эксплуатировать устаревшие сервисы вроде Internet Explorer представляет серьезную угрозу для организаций по всему миру.
CISA продолжает подчеркивать важность применения мер смягчения последствий в соответствии с инструкциями поставщика или прекращения использования затронутых продуктов при отсутствии таких мер. Эта директива подчеркивает срочность для пользователей либо обновить свои системы