Af Eskil Sørensen, 18/09/24
Microsoft melder nu, at en spoofing-sårbarhed, der påvirker Windows MSHTML, er blevet udnyttet som en del af en angrebskæde.
Sårbarheden, med id’et CVE-2024-38112 og en CVSS-score på 7,5, blev rettet i juli 2024, men har altså være genstand for udnyttelser inden. Det er APT-gruppen Void Banshee, der angiveligt har brugt sårbarheden til at levere Atlantida-malware til mål over hele verden, fremgår det af Help Net Securitys omtale af sagen. Heri hedder det også, at Check Point, som har analyseret angrebene, påpeger, at CVE-2024-38112 sandsynligvis har været udnyttet in-the-wild i over et år.
Selve udnyttelsen tvang en URL-fil (der fremstår som en PDF-fil) til at blive åbnet med Internet Explorer i stedet for Edge-browseren. URL'en førte til en side kontrolleret af angriberne og udløste download af en HTA-fil. Denne specielt udformede HTA-fil (HTML-applikation) misbrugte så en anden sårbarhed CVE-2024-43461 (CVSS 8,8) til at blive vist som en PDF-fil, og skjule ”dens sande udvidelse og dens ondsindede natur for brugeren”, fremgår det. HTA-filen havde et script, der gjorde brug af PowerShell til at downloade og udføre et ekstra script, oprette en ny proces til det, downloade yderligere trojanske loadere og levere Atlantida info-stealer.
Der har altså været tale om udnyttelse af to sårbarheder i en kombination.
En rettelse til CVE-2024-43461 blev frigivet i sidste uge. På det tidspunkt markerede Microsoft den som ikke-udnyttet, men en berigtigelse af dette blev bekræftet fredag, da Microsoft bekendtgjorde, den var blevet udnyttet som en del af en angrebskæde. Denne kæde blev ifølge Microsoft brudt ved frigivelse af rettelsen til CVE-2024-38112 i juli.
Indrømmelsen fremgår af Microsoft update-guide, som blev udsendt den 10. september, men som blev revideret den 13. september: ”Customers should install both the July 2024 and September 2024 security updates to fully protect themselves”, skriver Microsoft i sin anbefaling til håndtering af sagen.
MSHTML er en layout-motor udviklet af Microsoft og en central komponent, som bruges til at gengive websider og fortolke HTML- og CSS-kode.
Links:
https://www.helpnetsecurity.com/2024/09/16/cve-2024-43461-exploited/
https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-43461