Una «vulnerabilidad de suplantación de MSHTML de Windows» recientemente parcheada, rastreada como CVE-2024-43461, ahora está marcada como explotada previamente después de haber sido utilizada en ataques por parte del grupo de piratería APT Void Banshee.
Cuando se reveló por primera vez como parte del martes de parches en septiembre de 2024, Microsoft no marcó la vulnerabilidad como si ya hubiera sido explotada. Sin embargo, el viernes, Microsoft actualizó el CVE-2024-43461 una advertencia de que había sido explotado en ataques antes de ser parcheado.
El descubrimiento de la falla se atribuyó a Pierre Girnusinvestigador senior de amenazas en Zero Day de Trend Micro, quien le dijo a BleepingComputer que la falla CVE-2024-43461 fue explotada en ataques de día cero por parte de Void Banshee para instalar malware de robo de información.
Void Banshee es un grupo de hackers de APT seguido por primera vez por Trend Micro que apunta a organizaciones en América del Norte, Europa y el Sudeste Asiático para robar datos y obtener ganancias financieras.
La vulnerabilidad de día cero CVE-2024-43461
En julio, Check Point Research y Trend Micro informaron sobre los mismos ataques que aprovecharon los días cero de Windows para infectar dispositivos con el ladrón de información Atlantida, utilizado para robar contraseñas, cookies de autenticación y billeteras de criptomonedas de dispositivos infectados.
Los ataques utilizaron vulnerabilidades de día cero identificadas como CVE-2024-38112 (parcheada en julio) y CVE-2024-43461 (parcheada este mes) como parte de la cadena de ataque.
El descubrimiento de la falla de día cero CVE-2024-38112 se atribuyó al investigador de Check Point, Haifei Li, quien afirma que se utilizó para obligar a Windows a abrir sitios web maliciosos en Internet Explorer en lugar de Microsoft Edge al iniciar archivos de acceso directo especialmente diseñados.
«Específicamente, los atacantes utilizaron archivos especiales de acceso directo a Internet de Windows (extensión .url) que, al hacer clic, llamaban al antiguo Internet Explorer (IE) para visitar la URL controlada por el atacante», explicó Li en un comunicado. Informe de investigación de Check Point de julio.
Estas URL se utilizaron para descargar un archivo HTA malicioso y engañar al usuario para que lo abriera. Una vez abierto, se ejecutó un script para instalar el ladrón de información de Atlantida.
Los archivos HTA utilizaron otra falla de día cero llamada CVE-2024-43461 para ocultar la extensión del archivo HTA y hacer que el archivo apareciera como un PDF cuando Windows preguntó a los usuarios si debía abrirse, como se muestra a continuación.
El investigador de ZDI, Peter Girnus, le dijo a BleepingComputer que la falla CVE-2024-43461 también se utilizó en el Ataques de Banshee del Vacío para crear un Estado CWE-451 a través de nombres de archivos HTA que incluían 26 caracteres de espacio braille codificados (%E2%A0%80) para ocultar la extensión .hta.
Como puede ver a continuación, el nombre del archivo comienza con un archivo PDF pero incluye veintiséis caracteres de espacio braille codificados repetidos (%E2%A0%80) seguido de una extensión final “.hta”.
Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta
Cuando Windows abre este archivo, los caracteres de espacio Braille empujan la extensión HTA fuera de la interfaz de usuario, delimitada únicamente por un «…’ cadena en las indicaciones de Windows como se muestra a continuación. Esto hacía que los archivos HTA aparecieran como archivos PDF, lo que aumentaba las probabilidades de abrirlos.
Fuente: TrendMicro
Después de instalar la actualización de seguridad para CVE-2024-43461, Girnus dice que los espacios en blanco no se eliminan, pero Windows ahora muestra el espacio real .hta extensión de archivo en las indicaciones.
Fuente: Peter Girnus
Desafortunadamente, esta solución no es perfecta, ya que los espacios incluidos aún pueden engañar a los usuarios haciéndoles creer que el archivo es un archivo PDF en lugar de un archivo HTA.
Microsoft parchó otros tres días cero activamente explotados en el martes de parches de septiembre, incluido CVE-2024-38217, que fue explotado en ataques de pisotón LNK para eludir la característica de seguridad Marca de la Web.
