CISA 已命令美国联邦机构确保其系统安全,防范最近修补的 Windows MSHTML 欺骗零日漏洞,该漏洞遭 Void Banshee APT 黑客组织利用。
该漏洞 ( CVE-2024-43461 ) 于9月的补丁日披露,微软最初将其归类为未被攻击利用。然而,微软于周五更新了公告,确认该漏洞在修复之前曾被攻击利用。
微软透露,攻击者在 2024 年 7 月之前利用了 CVE-2024-43461,作为与另一个 MSHTML 欺骗漏洞 CVE-2024-38112 的漏洞链的一部分。
“我们在 2024 年 7 月的安全更新中发布了针对 CVE-2024-38112 的修复程序,从而打破了这一攻击链。”它表示。“客户应该同时安装 2024 年 7 月和 2024 年 9 月的安全更新,以全面保护自己。”
报告此安全漏洞的趋势科技零日计划 (ZDI) 威胁研究员 Peter Girnus告诉 BleepingComputer,Void Banshee 黑客在0day攻击中利用该漏洞安装了窃取信息恶意软件。
该漏洞使远程攻击者能够通过诱骗目标访问恶意制作的网页或打开恶意文件,在未修补的 Windows 系统上执行任意代码。
ZDI 公告(https://www.zerodayinitiative.com/advisories/ZDI-24-1207/)解释道:“特定漏洞存在于 Internet Explorer 在文件下载后提示用户的方式中。精心设计的文件名可能导致隐藏真实文件扩展名,从而误导用户认为该文件类型无害。攻击者可以利用此漏洞在当前用户的上下文中执行代码。”
他们利用 CVE-2024-43461 漏洞传播伪装成 PDF 文档的恶意 HTA 文件。为了隐藏 .hta 扩展名,他们使用了 26 个编码的盲文空白字符 (%E2%A0%80)。
正如 Check Point Research 和 Trend Micro 7 月份所披露的那样,这些攻击中部署的Atlantida 信息窃取恶意软件可以帮助从受感染的设备中窃取密码、身份验证 cookie 和加密货币钱包。
Void Banshee 是一个 APT 黑客组织,由趋势科技首次发现,其以北美、欧洲和东南亚的组织为目标,窃取经济利益和数据而闻名。
CISA命令联邦机构在10月7日前修复
CISA 已将MSHTML 欺骗漏洞添加到其已知被利用漏洞目录中,将其标记为主动利用漏洞,并命令联邦机构在 10 月 7 日之前修复漏洞以保护易受攻击的系统。
CISA表示:“这些漏洞是恶意攻击者频繁利用的媒介,对联邦机构构成重大风险。”
尽管 CISA 的 KEV 目录主要侧重于向联邦机构发出应尽快修补的安全漏洞警报,但也建议全球私人组织优先缓解此漏洞以阻止正在进行的攻击。
