导 读
网络安全公司 ClearSky 警告称,Windows 中一个新修补的0day漏洞可通过用户最少的交互(例如删除文件或右键单击文件)被利用。
该0day漏洞编号为 CVE-2024-43451,是一个中等严重程度的漏洞,会影响 MSHTM 引擎,该引擎继续由 Internet Explorer 模式下的 Edge 和其他应用程序通过 WebBrowser 控件使用,从而使它们暴露于困扰该组件的任何安全缺陷。
成功利用 CVE-2024-43451 允许威胁组织窃取受害者的 NTLMv2 哈希,然后通过执行传递哈希攻击使用它来作为目标用户进行身份验证。
微软在 11 月 12 日的安全公告(https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43451)中指出:“用户与恶意文件进行最小程度的交互,例如选择(单击)、检查(右键单击)或执行除打开或执行之外的操作,都可能触发此漏洞。”
ClearSky 发现了该漏洞并于 2024 年 6 月向微软报告,据该公司称,一些看似无害的操作可能会触发隐藏在 URL 文件中的漏洞,包括删除文件和将文件拖放到另一个文件夹。
ClearSky 观察到 CVE-2024-43451 被疑似俄罗斯黑客在针对乌克兰实体的攻击中利用。
受害者会收到来自受感染的乌克兰政府服务器的钓鱼电子邮件,提示他们更新学历证书。这些电子邮件将受害者引导至从政府官方网站下载的恶意 ZIP 文件。
该档案包含两个文件——一个 PDF 文档和一个 URL 文件——针对两个已知漏洞,即 CVE-2023-320462 和 CVE-2023-360251。该 URL 指向外部服务器以获取两个可执行文件,也旨在利用新披露的0day漏洞。
ClearSky 在一份技术报告中解释道:“当用户通过右键单击、删除或移动 URL 文件与它交互时,漏洞就会被触发。此操作会与攻击者的服务器建立连接并下载更多恶意文件,包括 SparkRAT 恶意软件。”
攻击链
该网络安全公司表示,在 Windows 10 和 Windows 11 上,URL 文件在执行任何这些操作时都会立即与外部服务器建立通信。在 Windows 7、8 和 8.1 上,该漏洞仅在多次尝试后才会触发。
ClearSky 表示,这表明“新发现的漏洞在 Windows 10/11 操作系统上更容易被利用”。
乌克兰计算机应急响应小组 (CERT-UA) 称,CVE-2024-43451 已被追踪为 UAC-0194 的威胁组织利用为0day漏洞,该威胁组织疑似来自俄罗斯。据 ClearSky 称,攻击者使用了与其他团体常见的工具包和技术。
技术报告:https://www.clearskysec.com/wp-content/uploads/2024/11/Zero-day-cve-2024-4351-report.pdf
新闻链接:
https://www.securityweek.com/windows-zero-day-exploited-by-russia-triggered-with-file-drag-and-drop-delete-actions/
今日安全资讯速递
APT事件
Advanced Persistent Threat
新型 RustyAttr 恶意软件通过滥用扩展属性攻击 macOS
https://thehackernews.com/2024/11/new-rustyattr-malware-targets-macos.html
WhatsApp 的诉讼文件中详细记录了 1,400 起 Pegasus 间谍软件感染事件
https://therecord.media/pegasus-spyware-infections-detailed-whatsapp-lawsuit
假冒朝鲜 IT 工作者涉嫌 BeaverTail 视频会议应用钓鱼攻击
https://unit42.paloaltonetworks.com/fake-north-korean-it-worker-activity-cluster/
匈牙利确认国防采购机构遭黑客攻击
https://therecord.media/hungary-defense-procurement-agency-hacked
伊朗黑客以“梦想职业”行动瞄准航空航天业
https://www.securityweek.com/iranian-hackers-target-aerospace-industry-in-dream-job-campaign/
俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day漏洞
https://www.securityweek.com/windows-zero-day-exploited-by-russia-triggered-with-file-drag-and-drop-delete-actions/
一般威胁事件
General Threat Incidents
安全专家发现大规模“活靶子”攻击计划中存在 70,000 个被劫持域名
https://thehackernews.com/2024/11/experts-uncover-70000-hijacked-domains.html
Dr.Web发现Google Play 8 款应用含有 Android/FakeApp 木马病毒
https://hackread.com/google-play-store-apps-android-fakeapp-trojan/
谷歌警告称,伪装诈骗、人工智能欺诈和加密骗局日益猖獗
https://thehackernews.com/2024/11/google-warns-of-rising-cloaking-scams.html
新型 Glove 信息窃取恶意软件可绕过 Chrome 的 Cookie 加密
https://www.bleepingcomputer.com/news/security/new-glove-infostealer-malware-bypasses-google-chromes-cookie-encryption/
网络犯罪分子利用 Strela Stealer 恶意软件瞄准西班牙、德国和乌克兰的受害者
https://therecord.media/cybercriminals-taget-spain-germany-ukraine-strela-stealer-malware
云勒索软件利用新脚本攻击 Web 应用程序
https://www.darkreading.com/cloud-security/cloud-ransomware-scripts-web-applications
新的勒索软件变种瞄准关键 Veeam CVE
https://www.cybersecuritydive.com/news/veeam-cve-exploit-frag-ransomware/732670/
诈骗网络利用 4,700 个虚假购物网站窃取信用卡信息
https://www.bleepingcomputer.com/news/security/fraud-network-uses-4-700-fake-shopping-sites-to-steal-credit-cards/
漏洞事件
Vulnerability Incidents
低代码,高风险:通过错误配置的 Microsoft Power Pages 暴露数百万条记录
https://www.securityweek.com/low-code-high-risk-millions-of-records-exposed-via-misconfigured-microsoft-power-pages/
旧版 D-Link NAS 设备中未修补的漏洞在披露几天后被利用
https://www.securityweek.com/unpatched-flaw-in-legacy-d-link-nas-devices-exploited-days-after-disclosure/
Zoom 解决了其平台上的两个高严重性漏洞
https://securityaffairs.com/170861/security/zoom-fixed-two-high-severity-flaws.html
CISA 警告称,更多 Palo Alto Networks 漏洞将被利用于攻击
https://www.bleepingcomputer.com/news/security/cisa-warns-of-more-palo-alto-networks-bugs-exploited-in-attacks/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day漏洞攻击乌克兰目标
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论