Microsoft ha reclasificado un error que la compañía solucionó en la actualización del martes de parches de este mes como una vulnerabilidad de día cero, que el grupo de amenazas persistentes avanzadas «Void Banshee» ha estado explotando desde antes de julio.
El error, identificado como CVE-2024-43461es una vulnerabilidad de suplantación de plataforma explotable de forma remota en el motor de navegador MSHTML (Trident) heredado que Microsoft continúa incluyendo en Windows para compatibilidad con versiones anteriores, y es uno de los dos fallos muy similares que utiliza Void Banshee en sus ataques.
Afecta a todas las versiones compatibles de Windows
Esta vulnerabilidad afecta a todas las versiones compatibles de Windows y permite a atacantes remotos ejecutar código arbitrario en los sistemas afectados. Sin embargo, un atacante tendría que convencer a una víctima potencial para que visite una página web maliciosa o haga clic en un enlace peligroso para que el exploit funcione.
Microsoft le dio a la falla una calificación de gravedad de 8,8 en la escala CVSS de 10 puntos durante su inicialmente reveló el error El 10 de septiembre, Microsoft no mencionó un error de día cero en su aviso de vulnerabilidad. El 13 de septiembre, Microsoft revisó su evaluación para decir que los atacantes, de hecho, habían explotado activamente la falla «como parte de una cadena de ataque». [related] “CVE-2024-38112”, una vulnerabilidad de suplantación de identidad de plataforma MSHTML que la empresa parchó en julio de 2024.
“Hemos publicado una solución para CVE-2024-38112 «En nuestras actualizaciones de seguridad de julio de 2024 que rompieron esta cadena de ataques», dijo Microsoft en su aviso actualizado.
La compañía quiere que los clientes apliquen sus parches de actualización de julio de 2024 y de septiembre de 2024 para protegerse completamente contra exploits dirigidos a CVE-2024-43461. Tras la actualización de Microsoft del 13 de septiembre, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) El 16 de septiembre agregó la falla. a su base de datos de vulnerabilidades explotadas conocidas con una fecha límite del 7 de octubre para que las agencias federales implementen las medidas de mitigación del proveedor.
CVE-2024-43461 es similar a CVE-2024-38112 en que permite a un atacante hacer que una interfaz de usuario (en este caso, el navegador) muestre datos erróneos. Investigación de puntos de controlMicrosoft, a quien se le atribuye el descubrimiento de la falla CVE-2024-38112, describió la falla como permitiendo a un adversario enviar una URL especialmente diseñada o un archivo de acceso directo a Internet que, al hacer clic, haría que Internet Explorer (incluso cuando estuviera deshabilitado) abriera un archivo malicioso. URL. Check Point dijo que ha observado que los actores maliciosos también están utilizando un nuevo truco separado para disfrazar archivos de aplicaciones HTML maliciosas (HTA) como documentos PDF de apariencia inocua al explotar la falla.
La Iniciativa de Día Cero (ZDI) de Trend Micro, que también afirmó haber descubierto CVE-2024-38112, y tiene un conflicto con Microsoft por no haberlos reconocido— más tarde informó Void Banshee El atacante aprovechó esta vulnerabilidad para introducir malware Atlantida en sistemas Windows. En los ataques observados por Trend Micro, el atacante atraía a sus víctimas utilizando archivos maliciosos disfrazados de libros PDF que distribuía a través de servidores Discord, sitios para compartir archivos y otros vectores. Void Banshee es un atacante con motivación financiera que los investigadores han observado que apunta a organizaciones en América del Norte, el Sudeste Asiático y Europa.
Una cadena de ataque de Microsoft de dos errores
Según el aviso actualizado de Microsoft, parece que los atacantes utilizaron la falla CVE-2024-43461 como parte de una cadena de ataque que también involucraba la falla CVE-2024-38112. Los investigadores de Qualys han señalado anteriormente que los exploits contra CVE-2024-38112 funcionarían igual de bien para CVE-2024-43416, ya que son dos fallas casi idénticas.
Peter Girnus, investigador senior de amenazas en ZDI, a quien Microsoft le asignó CVE-2024-43461, dice que los atacantes usaron CVE-2024-38112 para acceder a una página de inicio HTML a través de Internet Explorer utilizando el controlador de protocolo MHTML en un archivo .URL. “Esta página de destino contiene una
Girnus afirma que ZDI sabía que los atacantes estaban explotando la vulnerabilidad CVE-2024-43461, pero creía que el parche para la vulnerabilidad CVE-2024-38112 solucionaba el problema. “Sin embargo, revocamos este parche sólo para darnos cuenta de que la vulnerabilidad de suplantación de identidad no se había solucionado. Alertamos rápidamente a Microsoft”, explica.
En su informe de julio sobre Void Banshee que explota CVE-2024-38112, Trend Micro dijo que la falla es un excelente ejemplo de cómo las organizaciones pueden quedar atrapadas por «reliquias de Windows no compatibles», como MSHTML, y terminar con atacantes lanzando ransomware, puertas traseras. y otro malware en sus sistemas. La superficie de ataque también es grande: un estudio realizado por Sevco en 500.000 sistemas Windows 10 y Windows 11 inmediatamente después de la divulgación por parte de Microsoft de CVE-2024-38112 mostró que más del 10% de ellos no tienen ningún tipo de control de protección de endpoints y casi El 9% carece de controles de gestión de parches, lo que los deja completamente ciegos ante las amenazas.
“Las vulnerabilidades ambientales, como la falta de controles de seguridad de terminales o administración de parches en los dispositivos, combinadas con vulnerabilidades CVE, aumentan el riesgo de que las empresas dejen rutas de datos expuestas y permitan a los actores de malware explotar vulnerabilidades como [CVE-2024-43461]»Es fundamental que las empresas den los primeros pasos para abordar esta vulnerabilidad, pero no pueden quedarse ahí», afirma Greg Fitzgerald, cofundador de Sevco.