Търсене
Close this search box.

Изглежда два различни престъпни колектива  използват току-що поправения CVE-2024-38112 в целенасочени, едновременни кампании за извличане на информация.

Възможно е  заплахите да са използвали един от бъговете от типа „нулев ден“, които Microsoft поправи в юлската си актуализация на сигурността, в продължение на поне 18 месеца преди пускането на кръпката.

Въпреки че уязвимостта (CVE-2024-38112) засяга енджина MSHTML (Trident) за вече оттегления браузър Internet Explorer (IE), по-новите системи Windows 10 и Windows 11 – където Edge е браузърът по подразбиране – също са податливи на атаки, насочени към дефекта.

Нова верига за експлоатиране

Хайфей Лий, изследовател по сигурността в Check Point, открива и докладва дефекта на Microsoft през май. В неотдавнашна публикация в блога си Ли описва CVE-2024-38112 като позволяваща на нападателя да изпрати на жертвите специално създадени файлове за бърз достъп до интернет (наричани още URL файлове), които при щракване ще използват IE – дори ако не е браузърът по подразбиране – за отваряне на контролиран от нападателя URL адрес. При атаките, които Check Point е наблюдавал, извършителят е комбинирал експлойта на дефекта с друг нов трик на IE за скриване на опасни HTML приложни файлове (или .hta файлове) под прикритието на безобидно изглеждащ PDF документ.

„За да обобщим атаките от гледна точка на експлоатацията: Първата техника, използвана в тези кампании, е [трик], който позволява на нападателя да извика IE вместо по-сигурния Chrome/Edge“, пише Ли. „Втората техника е трик за IE, който кара жертвата да вярва, че отваря PDF файл, докато всъщност тя изтегля и изпълнява опасно .hta приложение.“

В най-лошия случай уязвимостта може да позволи на нападателя да стартира рансъмуер, шпионски софтуер и друг произволен код на машината на жертвата, казва Ели Смаджа, ръководител на изследователската група в Check Point.

Експлоатирана в целенасочени кампании на Infostealer?

Смаджа казва, че анализът на Check Point на атаките, насочени към този недостатък, все още продължава. Първоначалният анализ обаче е показал, че поне два вероятно различни колектива експлоатират CVE-2024-38112 в едновременни кампании, насочени към лица във Виетнам и Турция. Една от кампаниите включва опити на нападателя да пусне крадеца на информация Atlantida върху набелязани жертви в двете държави.

„Този извършител използва компрометирани платформи на WordPress, за да изпълнява атаки с помощта на HTA и PowerShell файлове, които в крайна сметка разгръщат крадеца Atlantida на целевите машини“, казва Smajda. „Смятаме, че може да има допълнителни, неразкрити инциденти, водени от киберпрестъпни мотиви“, казва той.

По-рано тази година Rapid7 идентифицира Atlantida като зловреден софтуер, който позволява кражба на информация за удостоверения, данни от портфейли за криптовалути, данни от браузъри, информация от екрани, хардуерни данни и друга информация от компрометирани системи.

Microsoft описва CVE-2024-38112 като уязвимост за подправяне, която може да има голямо въздействие върху поверителността, целостта и наличността на системата, ако бъде успешно експлоатирана. Компанията обаче ѝ е присъдила само умерено висока оценка на сериозността – 7,5 от 10, наред с други неща, въз основа на факта, че нападателят ще трябва да убеди жертвата да взаимодейства с въоръжения URL файл, за да може атаката да проработи.

Американската агенция за киберсигурност и сигурност на инфраструктурата (CISA) вече добави CVE-2024-38112 към своя каталог на известните експлоатирани уязвимости (KEV) и призова организациите да прилагат смекчаващите мерки на Microsoft за уязвимостта. Федералните граждански агенции от изпълнителната власт имат срок до 30 юли да отстранят проблема или да преустановят използването на засегнатите продукти, докато не отстранят проблема.

Грешката Trident е една от двете нулеви дати от юлската актуализация на Microsoft, които CISA добави в своя каталог KEV. Другата е CVE-2024-38080, недостатък за увеличаване на привилегиите в технологията за виртуализация Microsoft Windows Hyper-V. Microsoft заяви, че уязвимостта позволява на атакуващ с локален достъп да придобие привилегии на системно ниво.

Като цяло Microsoft пусна поправки за общо 139 уязвимости в своите продукти, което прави юлската актуализация по-голяма по обем на CVE от актуализациите на компанията за май и юни, взети заедно.

 

Източник: DARKReading

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
Бъдете социални
Още по темата
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
03/10/2024

Microsoft представя Copilot...

Във вторник Microsoft представи нов инструмент...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!