Une « vulnérabilité d’usurpation d’identité Windows MSHTML » récemment corrigée sous CVE-2024-43461 est maintenant marquée comme précédemment exploitée après avoir été utilisée dans des attaques par le groupe de piratage APT Void Banshee.
Lors de sa première divulgation dans le cadre du Patch Tuesday de septembre 2024, Microsoft n’avait pas marqué la vulnérabilité comme précédemment exploitée. Cependant, vendredi, Microsoft a mis à jour l’avis CVE-2024-43461 pour indiquer qu’il avait été exploité dans des attaques avant d’être corrigé.
La découverte de la faille a été attribuée à Peter Girnus, chercheur principal en menaces chez Zero Day de Trend Micro, qui a déclaré à Breachtrace que la faille CVE-2024-43461 avait été exploitée dans des attaques zero-day par Void Banshee pour installer des logiciels malveillants voleurs d’informations.
Void Banshee est un groupe de piratage APT suivi pour la première fois par Trend Micro qui cible des organisations en Amérique du Nord, en Europe et en Asie du Sud-Est pour voler des données et pour un gain financier.
Le jour zéro CVE-2024-43461
En juillet, Check Point Research et Trend Micro ont tous deux signalé les mêmes attaques qui exploitaient Windows zero-days pour infecter des appareils avec le voleur d’informations Atlantida, utilisé pour voler des mots de passe, des cookies d’authentification et des portefeuilles de crypto-monnaie sur des appareils infectés.
Les attaques utilisaient des jours zéro suivis comme CVE-2024-38112 (corrigé en juillet) et CVE-2024-43461 (corrigé ce mois-ci) dans le cadre de la chaîne d’attaques.
La découverte du jour zéro CVE-2024-38112 a été attribuée au chercheur de Check Point Haifei Li, qui dit qu’il a été utilisé pour forcer Windows à ouvrir des sites Web malveillants dans Internet Explorer plutôt que Microsoft Edge lors du lancement de fichiers de raccourcis spécialement conçus.
« Plus précisément, les attaquants ont utilisé des fichiers de raccourcis Internet Windows spéciaux (.nom d’extension d’URL), qui, une fois cliqué, appellerait Internet Explorer (IE) retiré pour visiter l’URL contrôlée par l’attaquant », a expliqué Li dans un rapport de recherche Check Point de juillet.
Ces URL ont été utilisées pour télécharger un fichier HTA malveillant et inviter l’utilisateur à l’ouvrir. Une fois ouvert, un script s’exécuterait pour installer le voleur d’informations Atlantida.
Les fichiers HTA utilisaient un autre jour zéro suivi sous le nom de CVE-2024-43461 pour masquer l’extension de fichier HTA et faire apparaître le fichier au format PDF lorsque Windows demandait aux utilisateurs s’il devait être ouvert, comme indiqué ci-dessous.
Peter Girnus, chercheur chez ZDI, a déclaré à Breachtrace que la faille CVE-2024-43461 avait également été utilisée dans les attaques Void Banshee pour créer une condition CWE-451 via des noms de fichiers HTA comprenant 26 caractères d’espacement braille codés (%E2 % A0 % 80) pour masquer le.prolongation de l’ETS.
Comme vous pouvez le voir ci-dessous, le nom du fichier commence par un fichier PDF mais comprend vingt-six caractères d’espacement braille codés répétés (%E2 % A0 % 80) suivis d’un ‘ final.extension de l’ETS.
Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta
Lorsque Windows ouvre ce fichier, les caractères d’espacement en braille poussent l’extension HTA en dehors de l’interface utilisateur, uniquement délimitée par un’…’chaîne dans les invites Windows, comme indiqué ci-dessous. Cela a fait apparaître les fichiers HTA sous forme de fichiers PDF, ce qui les rend plus susceptibles d’être ouverts.
Après avoir installé la mise à jour de sécurité pour CVE-2024-43461, Girnus indique que les espaces ne sont pas supprimés, mais Windows affiche maintenant le réel .extension hta pour le fichier dans les invites.
Malheureusement, ce correctif n’est pas parfait, car l’espace blanc inclus incitera probablement encore les gens à penser que le fichier est un fichier PDF plutôt qu’un fichier HTA.
Microsoft a corrigé trois autres zero-days activement exploités dans le Patch Tuesday de septembre, y compris CVE-2024-38217, qui a été exploité dans des attaques de piétinement LNK pour contourner la marque de la fonctionnalité de sécurité Web.