导 读
CISA 已命令美国联邦机构确保其系统安全,防范最近修补的 Windows MSHTML 欺骗零日漏洞,该漏洞遭 Void Banshee APT 黑客组织利用。
该漏洞 ( CVE-2024-43461 ) 于9月的补丁日披露,微软最初将其归类为未被攻击利用。然而,微软于周五更新了公告,确认该漏洞在修复之前曾被攻击利用。
微软透露,攻击者在 2024 年 7 月之前利用了 CVE-2024-43461,作为与另一个 MSHTML 欺骗漏洞 CVE-2024-38112 的漏洞链的一部分。
“我们在 2024 年 7 月的安全更新中发布了针对 CVE-2024-38112 的修复程序,从而打破了这一攻击链。”它表示。“客户应该同时安装 2024 年 7 月和 2024 年 9 月的安全更新,以全面保护自己。”
报告此安全漏洞的趋势科技零日计划 (ZDI) 威胁研究员 Peter Girnus告诉 BleepingComputer,Void Banshee 黑客在0day攻击中利用该漏洞安装了窃取信息恶意软件。
该漏洞使远程攻击者能够通过诱骗目标访问恶意制作的网页或打开恶意文件,在未修补的 Windows 系统上执行任意代码。
ZDI 公告(https://www.zerodayinitiative.com/advisories/ZDI-24-1207/)解释道:“特定漏洞存在于 Internet Explorer 在文件下载后提示用户的方式中。精心设计的文件名可能导致隐藏真实文件扩展名,从而误导用户认为该文件类型无害。攻击者可以利用此漏洞在当前用户的上下文中执行代码。”
他们利用 CVE-2024-43461 漏洞传播伪装成 PDF 文档的恶意 HTA 文件。为了隐藏 .hta 扩展名,他们使用了 26 个编码的盲文空白字符 (%E2%A0%80)。
伪装成 PDF 文档的 HTA 文件(趋势科技)
正如 Check Point Research 和 Trend Micro 7 月份所披露的那样,这些攻击中部署的Atlantida 信息窃取恶意软件可以帮助从受感染的设备中窃取密码、身份验证 cookie 和加密货币钱包。
Void Banshee 是一个 APT 黑客组织,由趋势科技首次发现,其以北美、欧洲和东南亚的组织为目标,窃取经济利益和数据而闻名。
CISA命令联邦机构在10月7日前修复
CISA 已将MSHTML 欺骗漏洞添加到其已知被利用漏洞目录中,将其标记为主动利用漏洞,并命令联邦机构在 10 月 7 日之前修复漏洞以保护易受攻击的系统。
CISA表示:“这些漏洞是恶意攻击者频繁利用的媒介,对联邦机构构成重大风险。”
尽管 CISA 的 KEV 目录主要侧重于向联邦机构发出应尽快修补的安全漏洞警报,但也建议全球私人组织优先缓解此漏洞以阻止正在进行的攻击。
新闻链接:
https://www.bleepingcomputer.com/news/security/cisa-warns-of-windows-flaw-used-in-infostealer-malware-attacks/
今日安全资讯速递
APT事件
Advanced Persistent Threat
朝鲜黑客利用 RustDoor 恶意软件攻击 LinkedIn 上的加密货币用户
https://thehackernews.com/2024/09/north-korean-hackers-target.html
网络攻击后德国广播电台被迫播放“音乐备份”
https://therecord.media/germany-cyberattack-radio-geretsried
研究人员称,与 Kimsuky 有关的黑客使用类似策略攻击俄罗斯和韩国
https://therecord.media/kimsuky-north-korea-hackers-targeting-russia-south-korea
一般威胁事件
General Threat Incidents
网络犯罪分子利用 HTTP 标头通过大规模网络钓鱼攻击窃取凭证
https://thehackernews.com/2024/09/cybercriminals-exploit-http-headers-for.html
新的“Hadooken”Linux 恶意软件瞄准 WebLogic 服务器
https://www.securityweek.com/new-hadooken-linux-malware-targets-weblogic-servers/
伦敦医院遭受勒索软件攻击,近 100 万 NHS 患者数据遭泄露
https://therecord.media/data-on-nearly-1-million-nhs-patients-leaked-hospital-ransomware
西雅图港 8 月遭受 Rhysida 勒索软件攻击
https://www.bleepingcomputer.com/news/security/port-of-seattle-says-rhysida-ransomware-was-behind-august-attack/
勒索软件攻击导致骨科服务提供商 Access Sports 数据泄露,影响 88,000 人
https://www.securityweek.com/88000-impacted-by-access-sports-data-breach-resulting-from-ransomware-attack/
RansomHub 勒索软件组织公开了据称从川崎欧洲汽车公司 (KME) 窃取的 487 GB 数据
https://www.securityweek.com/ransomware-group-leaks-data-allegedly-stolen-from-kawasaki-motors/
漏洞事件
Vulnerability Incidents
Google 修复了可能导致远程代码执行的 GCP Composer 缺陷
https://thehackernews.com/2024/09/google-fixes-gcp-composer-flaw-that.html
苹果通过 iOS 18 更新修复了主要安全漏洞
https://www.securityweek.com/apple-patches-major-security-flaws-with-ios-18-refresh/
SolarWinds 宣布修复 Access Rights Manager 中一个严重远程代码执行漏洞
https://www.securityweek.com/solarwinds-patches-critical-vulnerability-in-access-rights-manager/
Ivanti 警告称,近期修补的云设备漏洞可能遭利用
https://www.securityweek.com/ivanti-csa-vulnerability-exploited-in-attacks-days-after-disclosure/
微软警告称,最近修补的 Windows 漏洞在 2024 年 7 月之前已被广泛利用为零日漏洞
https://www.securityweek.com/microsoft-says-recent-windows-vulnerability-exploited-as-zero-day/
D-Link 修复 WiFi 6 路由器中的关键 RCE 和硬编码密码漏洞
https://www.bleepingcomputer.com/news/security/d-link-fixes-critical-rce-hardcoded-password-flaws-in-wifi-6-routers/
CISA 警告称,Windows 漏洞可能被用于信息窃取恶意软件攻击
https://www.bleepingcomputer.com/news/security/cisa-warns-of-windows-flaw-used-in-infostealer-malware-attacks/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):CISA 警告称,Windows 漏洞可能被用于信息窃取恶意软件攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论