Недавно обнаруженная и исправленная уязвимость спуфинга MSHTML в Windows (CVE-2024-43461) теперь официально признана Microsoft как активно эксплуатируемая в атаках. Эта информация вызывает серьезную озабоченность в сфере кибербезопасности, учитывая потенциальную опасность для пользователей Windows.
Детали уязвимости и ее эксплуатации
Уязвимость CVE-2024-43461 была устранена в рамках сентябрьского обновления безопасности Microsoft. Однако лишь недавно стало известно, что хакерская группа Void Banshee активно использовала эту уязвимость в своих атаках. Эксперты Trend Micro Zero Day Initiative (ZDI) обнаружили, что злоумышленники применяли символы из Unicode-блока шрифта Брайля для маскировки вредоносных файлов под PDF.
Механизм атаки
Атака использует сложную цепочку эксплойтов, включающую CVE-2024-38112 (исправлена в июле) и CVE-2024-43461. Процесс атаки выглядит следующим образом:
- Использование специально подготовленных файлов интернет-ярлыков (.url) для открытия вредоносных сайтов в Internet Explorer.
- Загрузка вредоносного HTA-файла на компьютер жертвы.
- Маскировка HTA-файла под PDF с использованием уязвимости CVE-2024-43461.
- Запуск вредоносного скрипта при открытии файла пользователем.
- Установка инфостилера Atlantida на зараженное устройство.
Технические детали эксплуатации CVE-2024-43461
Уязвимость CVE-2024-43461 использовалась для провоцирования проблемы CWE-451 (искажение важной информации в пользовательском интерфейсе) в именах файлов HTA. Злоумышленники применяли 26 пробельных символов Брайля (%E2%A0%80, U+2800, Braille Pattern Blank) для скрытия расширения .hta. Пример вредоносного имени файла:
Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta
Такой метод позволял вытеснить расширение HTA за пределы пользовательского интерфейса, маскируя вредоносный файл под безобидный PDF-документ.
Последствия и меры защиты
Инфостилер Atlantida, распространяемый с помощью этой атаки, представляет серьезную угрозу. Он способен похищать пароли, файлы аутентификации и данные криптовалютных кошельков с зараженных устройств. Для защиты от подобных атак рекомендуется:
- Своевременно устанавливать все обновления безопасности Windows
- Использовать современные антивирусные решения с актуальными базами данных
- Проявлять осторожность при открытии файлов из непроверенных источников
- Обучать сотрудников основам кибербезопасности и распознаванию фишинговых атак
Уязвимость CVE-2024-43461 демонстрирует растущую изощренность кибератак и подчеркивает важность постоянной бдительности в вопросах кибербезопасности. Организациям и частным пользователям необходимо регулярно обновлять свои системы защиты и быть в курсе последних угроз для эффективного противодействия современным киберугрозам.