Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустило директиву для федеральных агентств США, призывая их усилить защиту своих систем от недавно исправленной уязвимости нулевого дня в Windows MSHTML. Эта уязвимость, обозначенная как CVE-2024-43461, была выявлена в ходе обновлений Patch Tuesday в этом месяце. Изначально Microsoft классифицировала её как неэксплуатируемую, однако последующее обновление показало, что уязвимость действительно была использована до её устранения.
Microsoft сообщила, что злоумышленники использовали CVE-2024-43461 до июля 2024 года, применяя её в цепочке эксплойтов вместе с другой уязвимостью MSHTML, CVE-2024-38112. Компания отметила: «Мы выпустили исправление для CVE-2024-38112 в наших июльских обновлениях безопасности, что нарушило эту цепочку атак. Клиентам следует установить как июльские, так и сентябрьские обновления безопасности 2024 года для полной защиты».
Исследования и угрозы
Питер Гирнус, исследователь угроз из инициативы Trend Micro Zero Day Initiative (ZDI), сообщил, что группа хакеров Void Banshee использовала эту уязвимость в атаках нулевого дня для установки вредоносного ПО, крадущего информацию. Эта уязвимость позволяет удалённым злоумышленникам выполнять произвольный код на незащищённых системах Windows, обманывая пользователей и заставляя их посещать вредоносные веб-страницы или открывать опасные файлы.
В консультативном отчёте ZDI говорится о недостатке следующим образом: «Конкретный недостаток существует в способе, которым Internet Explorer запрашивает пользователя после загрузки файла. Сформированное имя файла может скрыть истинное расширение файла, вводя пользователя в заблуждение относительно типа файла. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего пользователя». В этих атаках хакеры использовали CVE-2024-43461 для доставки вредоносных HTA-файлов, замаскированных под PDF-документы, искусно скрывая расширение .hta с помощью 26 закодированных символов пробела Брайля (%E2%A0%80).
Исследования, проведённые Check Point и Trend Micro в июле, показали, что вредоносное ПО Atlantida, используемое в этих атаках, способно красть пароли, аутентификационные куки и криптовалютные кошельки с заражённых устройств. Группа Void Banshee, впервые выявленная Trend Micro, получила известность за свои атаки на организации в Северной Америке, Европе и Юго-Восточной Азии, главным образом с целью финансовой выгоды и кражи данных.
Трёхнедельный срок для исправления уязвимостей
В рамках проактивных мер CISA включило уязвимость MSHTML в свой каталог известных эксплуатируемых уязвимостей (KEV), обозначив её как активно эксплуатируемую. Федеральным агентствам предписано обеспечить защиту уязвимых систем в течение трёх недель, с крайним сроком до 7 октября, в соответствии с директивой Binding Operational Directive (BOD) 22-01. CISA подчеркнуло: «Эти типы уязвимостей являются частыми векторами атак для злонамеренных киберакторов и представляют значительные риски для федерального предприятия».
Хотя каталог KEV от CISA в первую очередь служит для оповещения федеральных агентств о критических недостатках безопасности, требующих немедленного внимания, частные организации по всему миру также призываются приоритетно устранять эту уязвимость для предотвращения текущих атак. В дополнение к CVE-2024-43461 Microsoft устранила три другие активно эксплуатируемые уязвимости нулевого дня в сентябрьском обновлении Patch Tuesday 2024 года, включая CVE-2024-38217, которая использовалась в атаках LNK stomping с как минимум 2018 года для обхода функции безопасности Smart App Control и метки Mark of the Web (MotW).