最近树立的" Windows MSHTML 诳骗马虎"被追踪为 CVE-2024-43461,刻下被标记为之前已被愚弄九游会j9·游戏「中国」官方网站九游会J9,因为它曾被 Void Banshee APT 黑客组织用于挫折。在 2024 年 9 月补丁星期二初度表露时,微软并未将该马虎标记为之前被愚弄。关系词,微软在最新更新的 CVE-2024-43461 公告中,标明它在树立之前曾被愚弄用于挫折。
该马虎的发现归功于零日高档威逼议论员 Peter Girnus,他发现 Void Banshee 在零日挫折中愚弄 CVE-2024-43461 马虎来安设窃取信息的坏心软件。
Void Banshee 是其初度追踪的一个 APT 黑客组织,其方针是北好意思、欧洲和东南亚的组织,以窃取数据和赢得经济利益为主要见地。
CVE-2024-43461 零日马虎
7 月份,Check Point Research 和 Trend Micro 均证明了一样的挫折,这些挫折愚弄 Windows 零日马虎感染开荒,并安设 Atlantida 信息窃取措施,用于从受感染开荒窃取密码、身份考证 cookie 和加密货币钱包。
这次挫折愚弄了被追踪为 CVE-2024-38112(7 月树立)和 CVE-2024-43461(本月树立)的零日马虎动作挫折链的一部分。
CVE-2024-38112 零日马虎的发现归功于 Check Point 议论员 Haifei Li,他默示,该马虎被用来强制 Windows 在启动特制的快捷容貌文献时在 Internet Explorer 中掀开坏心网站,而不是在 Microsoft Edge 中掀开。
议论员在 7 月份的 Check Point Research 证明中阐明注解说念:"挫折者使用稀奇的 Windows Internet 快捷容貌文献(.url 膨胀名),单击该文献时,会调用已退役的 Internet Explorer(IE)来阅览挫折者适度的 URL。"
这些 URL 用于下载坏心 HTA 文献并领导用户掀开它。掀开后,将运转剧底本安设 Atlantida 信息窃取措施。HTA 文献愚弄另一个零日马虎(追踪为 CVE-2024-43461)来掩藏 HTA 文献膨胀名,并在 Windows 领导用户是否应掀开时使文献表露为 PDF,如下所示。
ZDI 议论员 Peter Girnus 默示,CVE-2024-43461 马虎也被用于 Void Banshee 挫折,通过包含 26 个编码盲文空缺字符 ( ⠀ ) 的 HTA 文献名创建 CWE-451 条目以掩藏 .hta 膨胀名。
如下所示,文献名以 PDF 文献开头,但包含 26 个重叠编码盲文空缺字符 ( ⠀ ) ,后跟终末的" .hta "膨胀名。
Books_A0UJKO.pdf⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀.ht
当 Windows 掀开此文献时,盲文空缺字符会将 HTA 膨胀推到用户界面除外,仅在 Windows 领导顶用" ... "字符串端正边界,如下所示。这导致 HTA 文献表露为 PDF 文献,使其更有可能被掀开。
盲文空缺字符将 HTA 膨胀推离了视野
安设 CVE-2024-43461 的安全更新后,Girnus 默示空格未被删除,但 Windows 刻下在领导中表露文献的本色 .hta 膨胀名。
安全更新刻下表露 HTA 膨胀
但这个树立并不无缺,因为包含的空格可能仍然会让东说念主们误觉得该文献是 PDF 而不是 HTA 文献。
微软在 9 月补丁星期二树立了其他三个被积极愚弄的零日马虎九游会j9·游戏「中国」官方网站九游会J9,其中包括 CVE-2024-38217,该马虎被愚弄于 LNK 踩踏挫折中以绕过 Web 安全功能的标记。