最近树立的" Windows MSHTML 诳骗马虎"被追踪为 CVE-2024-43461，刻下被标记为之前已被愚弄九游会j9·游戏「中国」官方网站九游会J9，因为它曾被 Void Banshee APT 黑客组织用于挫折。在 2024 年 9 月补丁星期二初度表露时，微软并未将该马虎标记为之前被愚弄。关系词，微软在最新更新的 CVE-2024-43461 公告中，标明它在树立之前曾被愚弄用于挫折。

该马虎的发现归功于零日高档威逼议论员 Peter Girnus，他发现 Void Banshee 在零日挫折中愚弄 CVE-2024-43461 马虎来安设窃取信息的坏心软件。

Void Banshee 是其初度追踪的一个 APT 黑客组织，其方针是北好意思、欧洲和东南亚的组织，以窃取数据和赢得经济利益为主要见地。

CVE-2024-43461 零日马虎

7 月份，Check Point Research 和 Trend Micro 均证明了一样的挫折，这些挫折愚弄 Windows 零日马虎感染开荒，并安设 Atlantida 信息窃取措施，用于从受感染开荒窃取密码、身份考证 cookie 和加密货币钱包。

这次挫折愚弄了被追踪为 CVE-2024-38112（7 月树立）和 CVE-2024-43461（本月树立）的零日马虎动作挫折链的一部分。

CVE-2024-38112 零日马虎的发现归功于 Check Point 议论员 Haifei Li，他默示，该马虎被用来强制 Windows 在启动特制的快捷容貌文献时在 Internet Explorer 中掀开坏心网站，而不是在 Microsoft Edge 中掀开。

议论员在 7 月份的 Check Point Research 证明中阐明注解说念："挫折者使用稀奇的 Windows Internet 快捷容貌文献（.url 膨胀名），单击该文献时，会调用已退役的 Internet Explorer（IE）来阅览挫折者适度的 URL。"

这些 URL 用于下载坏心 HTA 文献并领导用户掀开它。掀开后，将运转剧底本安设 Atlantida 信息窃取措施。HTA 文献愚弄另一个零日马虎（追踪为 CVE-2024-43461）来掩藏 HTA 文献膨胀名，并在 Windows 领导用户是否应掀开时使文献表露为 PDF，如下所示。

ZDI 议论员 Peter Girnus 默示，CVE-2024-43461 马虎也被用于 Void Banshee 挫折，通过包含 26 个编码盲文空缺字符 ( ⠀ ) 的 HTA 文献名创建 CWE-451 条目以掩藏 .hta 膨胀名。

如下所示，文献名以 PDF 文献开头，但包含 26 个重叠编码盲文空缺字符 ( ⠀ ) ，后跟终末的" .hta "膨胀名。

Books_A0UJKO.pdf⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀.ht

当 Windows 掀开此文献时，盲文空缺字符会将 HTA 膨胀推到用户界面除外，仅在 Windows 领导顶用" ... "字符串端正边界，如下所示。这导致 HTA 文献表露为 PDF 文献，使其更有可能被掀开。

盲文空缺字符将 HTA 膨胀推离了视野

安设 CVE-2024-43461 的安全更新后，Girnus 默示空格未被删除，但 Windows 刻下在领导中表露文献的本色 .hta 膨胀名。

安全更新刻下表露 HTA 膨胀

但这个树立并不无缺，因为包含的空格可能仍然会让东说念主们误觉得该文献是 PDF 而不是 HTA 文献。

微软在 9 月补丁星期二树立了其他三个被积极愚弄的零日马虎九游会j9·游戏「中国」官方网站九游会J9，其中包括 CVE-2024-38217，该马虎被愚弄于 LNK 踩踏挫折中以绕过 Web 安全功能的标记。