Eine kürzlich behobene Sicherheitslücke in der Windows-Komponente MSHTML (CVE-2024-43461) wird aktiv von Cyberkriminellen ausgenutzt. Sicherheitsforscher haben entdeckt, dass die Hackergruppe Void Banshee diese Schwachstelle in Angriffen einsetzt, um bösartige Dateien als harmlose PDF-Dokumente zu tarnen. Diese Entwicklung unterstreicht die Dringlichkeit für Nutzer und Unternehmen, ihre Systeme zeitnah zu aktualisieren.
Details zur Sicherheitslücke und ihrer Ausnutzung
Die Schwachstelle CVE-2024-43461 wurde im September-Patchday von Microsoft behoben. Zu diesem Zeitpunkt war noch nicht bekannt, dass sie bereits aktiv ausgenutzt wurde. Erst kürzlich aktualisierte Microsoft den Sicherheitsbericht mit dieser Information. Die Entdeckung geht auf Experten der Trend Micro Zero Day Initiative (ZDI) zurück, die die Aktivitäten der Hackergruppe Void Banshee beobachteten.
Void Banshee nutzt die Schwachstelle in Kombination mit einer weiteren Sicherheitslücke (CVE-2024-38112), um den Infostealer Atlantida auf Zielsysteme einzuschleusen. Dieser Schädling ist darauf spezialisiert, Passwörter, Authentifizierungsdaten und Informationen zu Kryptowährungswallets zu stehlen.
Raffinierte Tarnungstechnik mittels Unicode-Zeichen
Besonders bemerkenswert ist die ausgeklügelte Methode, mit der die Angreifer ihre schädlichen Dateien tarnen. Sie verwenden Unicode-Zeichen aus dem Braille-Schriftblock, um die tatsächliche Dateiendung .hta zu verbergen. Konkret werden 26 Braille-Leerzeichen (%E2%A0%80, U+2800) zwischen dem scheinbaren PDF-Namen und der eigentlichen HTA-Erweiterung eingefügt. Dies führt dazu, dass Windows die Datei als PDF anzeigt, obwohl es sich in Wirklichkeit um eine ausführbare HTA-Datei handelt.
Beispiel eines getarnten Dateinamens:
Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta
Diese Technik nutzt eine Schwäche in der Benutzeroberfläche von Windows aus (CWE-451: User Interface (UI) Misrepresentation of Critical Information). Die Braille-Leerzeichen verschieben die tatsächliche Dateiendung außerhalb des sichtbaren Bereichs, sodass nur „…“ angezeigt wird. Dies erhöht die Wahrscheinlichkeit, dass Benutzer die Datei arglos öffnen.
Auswirkungen und Schutzmaßnahmen
Der Patch für CVE-2024-43461 behebt diese Schwachstelle, indem Windows nun die tatsächliche .hta-Erweiterung in Tooltips anzeigt. Dies verdeutlicht die Wichtigkeit regelmäßiger Systemaktualisierungen. IT-Sicherheitsverantwortliche sollten sicherstellen, dass alle Windows-Systeme mit den neuesten Sicherheitsupdates versorgt sind. Zusätzlich empfiehlt sich eine Sensibilisierung der Nutzer für solche Tarnungstechniken sowie der Einsatz moderner Endpoint-Protection-Lösungen, die verdächtige Dateien erkennen können.
Diese Entwicklung zeigt einmal mehr, wie kreativ und raffiniert Cyberkriminelle vorgehen, um Sicherheitsmaßnahmen zu umgehen. Es unterstreicht die Notwendigkeit einer mehrschichtigen Sicherheitsstrategie, die technische Maßnahmen mit Benutzerschulungen kombiniert. Unternehmen und Privatanwender sollten wachsam bleiben und proaktiv an der Verbesserung ihrer Cybersicherheit arbeiten, um sich vor solchen ausgeklügelten Angriffen zu schützen.