微软警告称,攻击者在2024年7月之前作为零日漏洞使用了Windows漏洞CVE-2024-43461。漏洞CVE-2024-43461是Windows MSHTML平台 spoofing问题。MSHTML是Internet Explorer平台的一部分,尽管浏览器已经被弃用,但MSHTML仍然存在于Windows中,并且仍然被某些应用程序使用。
ZDI Threat Hunting团队发现了一个与之前修复的July漏洞追踪为CVE-2024-38112的类似漏洞。微软发布的警告中写道:“这个漏洞允许远程攻击者在受影响的Microsoft Windows安装中执行任意代码。需要用户交互来利用这个漏洞,因为目标需要访问恶意页面或打开恶意文件。”
警告中还写道:“特定的漏洞存在于Internet Explorer在下载文件后对用户的提示方式中。可以crafted的文件名可以导致真正的文件扩展名被隐藏,从而误导用户认为文件类型无害。攻击者可以利用这个漏洞在当前用户的上下文中执行代码。”
尽管在6月报告了漏洞,但攻击者很快便找到了一种绕过补丁的方法。虽然已经在使用,但微软还没有将其标记为攻击目标。漏洞影响所有受支持的Windows版本。
微软发布的警告中写道:“是的,CVE-2024-43461在CVE-2024-38112攻击链中被利用,prior to July 2024。”“我们在2024年7月的安全更新中发布了CVE-2024-38112的修复,这个修复破坏了这个攻击链。见[CVE-2024-38112 – Security Update Guide – Microsoft – Windows MSHTML Platform Spoofing Vulnerability[(https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112)。客户应该同时应用2024年7月和9月��安全更新以完全保护自己。”
9月2024年的安全更新中解决了CVE-2024-43461漏洞。
7 月,趋势科技报告称,发现一个被跟踪为 Void Banshee 的 APT 组织利用 Windows 零日漏洞 CVE-2024-38112(CVSS 分数为 7.5)通过禁用的 Internet Explorer 执行代码。攻击者可以通过向受害者发送受害者必须执行的恶意文件来触发问题。Trend Micro 研究人员发现,该漏洞在 5 月份被广泛利用。
观察到 Void Banshee 利用 CVE-2024-38112 缺陷将 Atlantida 信息窃取程序投放到受害者的机器上。该恶意软件允许运营商从多个应用程序收集系统信息并窃取敏感数据,例如密码和 cookie。
在攻击链中,Void Banshee尝试骗受害者打开zip归档中的恶意文件, disguise为PDF书籍。归档在云共享网站、Discord服务器、在线图书馆等 Means disseminated。APT组focus在北美洲、欧洲和东南亚。
“这个零日攻击是一个未支持的Windows遗留攻击面是被漏掉的攻击面,仍然可以被攻击者利用来感染无情用户的ransomware、后门或其他恶意软件。”Trend Micro表示。
Void Banshee使用禁用的Internet Explorer进程运行HTML应用程序(HTA)文件,使用特别crafted的.URL文件、MHTML协议处理器和x-usc!指令。这一技术类似于CVE-2021-40444的exploitation,另一个MSHTML漏洞,该漏洞在零日攻击中被利用。专家警告,这种攻击方法非常关心,因为Internet Explorer不再收到更新或安全修复。
原文始发于微信公众号(黑猫安全):近期修复的Windows漏洞CVE-2024-43461在2024年7月之前作为零日漏洞被主动攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论