CISA a ordonné aux agences fédérales américaines de sécuriser leurs systèmes contre un bogue d’usurpation de jour zéro Windows MSHTML récemment corrigé exploité par le groupe de piratage Void Banshee APT.

La vulnérabilité (CVE-2024-43461) a été divulguée lors du Patch Tuesday de ce mois-ci, et Microsoft l’a initialement classée comme non exploitée dans les attaques. Cependant, Microsoft a mis à jour l’avis vendredi pour confirmer qu’il avait été exploité dans des attaques avant d’être corrigé.

Microsoft a révélé que les attaquants exploitaient CVE-2024-43461 avant juillet 2024 dans le cadre d’une chaîne d’exploits avec CVE-2024-38112, un autre bogue d’usurpation MSHTML.

« Nous avons publié un correctif pour CVE-2024-38112 dans nos mises à jour de sécurité de juillet 2024 qui a brisé cette chaîne d’attaques », indique-t-il. « Les clients doivent à la fois la mise à jour de sécurité de juillet 2024 et de septembre 2024 pour se protéger pleinement. »

Peter Girnus, le chercheur en menaces de la Trend Micro Zero Day Initiative (ZDI) qui a signalé la faille de sécurité, a déclaré à Breachtrace que les pirates de Void Banshee l’exploitaient dans des attaques zero-day pour installer des logiciels malveillants voleurs d’informations.

Cette vulnérabilité permet à des attaquants distants d’exécuter du code arbitraire sur des systèmes Windows non corrigés en incitant les cibles à visiter une page Web malveillante ou à ouvrir un fichier malveillant.

« La faille spécifique existe dans la façon dont Internet Explorer invite l’utilisateur après le téléchargement d’un fichier », explique l’avis ZDI. « Un nom de fichier contrefait peut masquer la véritable extension de fichier, induisant l’utilisateur en erreur en lui faisant croire que le type de fichier est inoffensif. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code dans le contexte de l’utilisateur actuel. »

Ils ont utilisé les exploits CVE-2024-43461 pour fournir des fichiers HTA malveillants camouflés sous forme de documents PDF. Pour cacher le .extension hta, ils ont utilisé 26 caractères d’espacement braille codés (%E2 % A0 % 80).

Fichier HTA camouflé en document PDF

Comme révélé en juillet par Check Point Research et Trend Micro, le logiciel malveillant Atlantida de vol d’informations déployé dans ces attaques peut aider à voler des mots de passe, des cookies d’authentification et des portefeuilles de crypto-monnaie à partir d’appareils infectés.

Void Banshee est un groupe de piratage APT identifié pour la première fois par Trend Micro et connu pour cibler des organisations en Amérique du Nord, en Europe et en Asie du Sud-Est à des fins financières et pour voler des données.

Les agences fédérales ont trois semaines pour corriger
Aujourd’hui, CISA a ajouté la vulnérabilité d’usurpation MSHTML à son catalogue de vulnérabilités exploitées connues, la marquant comme activement exploitée et ordonnant aux agences fédérales de sécuriser les systèmes vulnérables dans les trois semaines d’ici le 7 octobre, conformément à la Directive opérationnelle contraignante (BOD) 22-01.

« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a déclaré l’agence de cybersécurité.

Bien que le catalogue KEV de CISA se concentre principalement sur l’alerte des agences fédérales sur les failles de sécurité qu’elles doivent corriger dès que possible, il est également conseillé aux organisations privées du monde entier de donner la priorité à l’atténuation de cette vulnérabilité pour bloquer les attaques en cours.

Microsoft a corrigé trois autres zero-days activement exploités dans le Patch Tuesday de septembre 2024. Cela inclut CVE-2024-38217, une vulnérabilité exploitée dans les attaques par piétinement LNK depuis au moins 2018 pour contourner le contrôle intelligent des applications et la fonctionnalité de sécurité Mark of the Web (MotW).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *