Windows: vulnerabilità sfruttava "spazi" braille in attacchi zero-day

Una "vulnerabilità di spoofing MSHTML di Windows" recentemente risolta, tracciata come CVE-2024-43461, è ora contrassegnata come precedentemente sfruttata dopo essere stata utilizzata in attacchi dal gruppo di hacker APT Void Banshee. La scoperta del difetto è stata attribuita a Peter Girnus, Senior Threat Researcher di Trend Micro. Quest’ultimo ha dichiarato al sito BleepingComputer che il difetto CVE-2024-43461 è stato sfruttato in attacchi zero-day da Void Banshee per installare malware che ruba informazioni. Void Banshee è un gruppo di hacker APT che prende di mira organizzazioni in Nord America, Europa e Sud-est asiatico per rubare dati e ottenere guadagni finanziari.

Windows: come funzionava lo zero-day CVE-2024-43461

A luglio, Check Point Research e Trend Micro hanno segnalato gli stessi attacchi che sfruttavano gli zero-day di Windows per infettare i dispositivi con Atlantida info-stealer. Questo malware era utilizzato per rubare password, cookie di autenticazione e wallet di criptovaluta dai dispositivi infetti. Gli attacchi hanno utilizzato gli zero-day tracciati come CVE-2024-38112 (risolto a luglio) e CVE-2024-43461 (risolto questo mese) come parte della catena di attacchi. La scoperta dello zero-day CVE-2024-38112 è stata attribuita al ricercatore di Check Point, Haifei Li. Quest’ultimo afferma che è stato utilizzato per forzare Windows ad aprire siti Web dannosi in Internet Explorer anziché in Microsoft Edge quando si avviavano file di collegamento (.url) appositamente creati.

Questi URL venivano utilizzati per scaricare un file HTA dannoso e chiedere all'utente di aprirlo. Una volta aperto, veniva eseguito uno script per installare Atlantida info-stealer. I file HTA utilizzavano un diverso zero-day tracciato come CVE-2024-43461 per nascondere l'estensione e far apparire il file come PDF quando Windows chiedeva di aprirlo. Quando veniva aperto il file, i caratteri di spaziatura braille spingevano l'estensione HTA fuori dall'interfaccia utente, delineata solo da una stringa '...' nei prompt di Windows. Ciò ha fatto sì che i file HTA apparissero come file PDF, rendendoli più propensi ad essere aperti.

Dopo aver installato l'aggiornamento di sicurezza per CVE-2024-43461, Girnus ha affermato che gli spazi non sono stati eliminati. Tuttavia, Windows ora mostra l'estensione .hta del file nei prompt. Sfortunatamente, questa correzione non è perfetta. Lo spazio bianco incluso probabilmente confonderà ancora gli utenti facendogli credere che il file sia un PDF piuttosto che un file HTA. Microsoft ha corretto altri tre zero-day attivamente sfruttati nel Patch Tuesday di settembre. Tra questi vi è anche CVE-2024-38217, che è stato sfruttato in attacchi LNK stomping per aggirare la funzionalità di sicurezza Mark of the Web.