打开网易新闻 查看精彩图片

最近修复的“Windows MSHTML 欺骗漏洞”被追踪为 CVE-2024-43461,现在被标记为之前已被利用,因为它曾被 Void Banshee APT 黑客组织用于攻击。在 2024 年 9 月补丁星期二首次披露时,微软并未将该漏洞标记为之前被利用。然而,微软在最新更新的 CVE-2024-43461 公告中,表明它在修复之前曾被利用用于攻击。

该漏洞的发现归功于零日高级威胁研究员 Peter Girnus,他发现 Void Banshee 在零日攻击中利用 CVE-2024-43461 漏洞来安装窃取信息的恶意软件。

Void Banshee 是其首次追踪的一个 APT 黑客组织,其目标是北美、欧洲和东南亚的组织,以窃取数据和获取经济利益为主要目的。

CVE-2024-43461 零日漏洞
打开网易新闻 查看精彩图片
CVE-2024-43461 零日漏洞

7 月份,Check Point Research 和 Trend Micro 均报告了同样的攻击,这些攻击利用 Windows 零日漏洞感染设备,并安装 Atlantida 信息窃取程序,用于从受感染设备窃取密码、身份验证 cookie 和加密货币钱包。

此次攻击利用了被追踪为 CVE-2024-38112(7 月修复)和 CVE-2024-43461(本月修复)的零日漏洞作为攻击链的一部分。

CVE-2024-38112 零日漏洞的发现归功于 Check Point 研究员 Haifei Li,他表示,该漏洞被用来强制 Windows 在启动特制的快捷方式文件时在 Internet Explorer 中打开恶意网站,而不是在 Microsoft Edge 中打开。

研究员在 7 月份的 Check Point Research 报告中解释道:“攻击者使用特殊的 Windows Internet 快捷方式文件(.url 扩展名),单击该文件时,会调用已退役的 Internet Explorer(IE)来访问攻击者控制的 URL。”

这些 URL 用于下载恶意 HTA 文件并提示用户打开它。打开后,将运行脚本来安装 Atlantida 信息窃取程序。HTA 文件利用另一个零日漏洞(跟踪为 CVE-2024-43461)来隐藏 HTA 文件扩展名,并在 Windows 提示用户是否应打开时使文件显示为 PDF,如下所示。

ZDI 研究员 Peter Girnus 表示,CVE-2024-43461 漏洞也被用于 Void Banshee 攻击,通过包含 26 个编码盲文空白字符 (%E2%A0%80) 的 HTA 文件名创建 CWE-451 条件以隐藏 .hta 扩展名。

如下所示,文件名以 PDF 文件开头,但包含 26 个重复编码盲文空白字符 (%E2%A0%80),后跟最后的“.hta”扩展名。

Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.ht

当 Windows 打开此文件时,盲文空白字符会将 HTA 扩展推到用户界面之外,仅在 Windows 提示中用“...”字符串划定界限,如下所示。这导致 HTA 文件显示为 PDF 文件,使其更有可能被打开。

打开网易新闻 查看精彩图片

盲文空白字符将 HTA 扩展推离了视线

安装 CVE-2024-43461 的安全更新后,Girnus 表示空格未被删除,但 Windows 现在在提示中显示文件的实际 .hta 扩展名。

打开网易新闻 查看精彩图片

安全更新现在显示 HTA 扩展

但这个修复并不完美,因为包含的空格可能仍然会让人们误以为该文件是 PDF 而不是 HTA 文件。

微软在 9 月补丁星期二修复了其他三个被积极利用的零日漏洞,其中包括 CVE-2024-38217,该漏洞被利用于 LNK 踩踏攻击中以绕过 Web 安全功能的标记。

参考及来源:https://www.bleepingcomputer.com/news/security/windows-vulnerability-abused-braille-spaces-in-zero-day-attacks/