Изглежда два различни престъпни колектива използват току-що поправения CVE-2024-38112 в целенасочени, едновременни кампании за извличане на информация.
Възможно е заплахите да са използвали един от бъговете от типа „нулев ден“, които Microsoft поправи в юлската си актуализация на сигурността, в продължение на поне 18 месеца преди пускането на кръпката.
Въпреки че уязвимостта (CVE-2024-38112) засяга енджина MSHTML (Trident) за вече оттегления браузър Internet Explorer (IE), по-новите системи Windows 10 и Windows 11 – където Edge е браузърът по подразбиране – също са податливи на атаки, насочени към дефекта.
Хайфей Лий, изследовател по сигурността в Check Point, открива и докладва дефекта на Microsoft през май. В неотдавнашна публикация в блога си Ли описва CVE-2024-38112 като позволяваща на нападателя да изпрати на жертвите специално създадени файлове за бърз достъп до интернет (наричани още URL файлове), които при щракване ще използват IE – дори ако не е браузърът по подразбиране – за отваряне на контролиран от нападателя URL адрес. При атаките, които Check Point е наблюдавал, извършителят е комбинирал експлойта на дефекта с друг нов трик на IE за скриване на опасни HTML приложни файлове (или .hta файлове) под прикритието на безобидно изглеждащ PDF документ.
„За да обобщим атаките от гледна точка на експлоатацията: Първата техника, използвана в тези кампании, е [трик], който позволява на нападателя да извика IE вместо по-сигурния Chrome/Edge“, пише Ли. „Втората техника е трик за IE, който кара жертвата да вярва, че отваря PDF файл, докато всъщност тя изтегля и изпълнява опасно .hta приложение.“
В най-лошия случай уязвимостта може да позволи на нападателя да стартира рансъмуер, шпионски софтуер и друг произволен код на машината на жертвата, казва Ели Смаджа, ръководител на изследователската група в Check Point.
Смаджа казва, че анализът на Check Point на атаките, насочени към този недостатък, все още продължава. Първоначалният анализ обаче е показал, че поне два вероятно различни колектива експлоатират CVE-2024-38112 в едновременни кампании, насочени към лица във Виетнам и Турция. Една от кампаниите включва опити на нападателя да пусне крадеца на информация Atlantida върху набелязани жертви в двете държави.
„Този извършител използва компрометирани платформи на WordPress, за да изпълнява атаки с помощта на HTA и PowerShell файлове, които в крайна сметка разгръщат крадеца Atlantida на целевите машини“, казва Smajda. „Смятаме, че може да има допълнителни, неразкрити инциденти, водени от киберпрестъпни мотиви“, казва той.
По-рано тази година Rapid7 идентифицира Atlantida като зловреден софтуер, който позволява кражба на информация за удостоверения, данни от портфейли за криптовалути, данни от браузъри, информация от екрани, хардуерни данни и друга информация от компрометирани системи.
Microsoft описва CVE-2024-38112 като уязвимост за подправяне, която може да има голямо въздействие върху поверителността, целостта и наличността на системата, ако бъде успешно експлоатирана. Компанията обаче ѝ е присъдила само умерено висока оценка на сериозността – 7,5 от 10, наред с други неща, въз основа на факта, че нападателят ще трябва да убеди жертвата да взаимодейства с въоръжения URL файл, за да може атаката да проработи.
Американската агенция за киберсигурност и сигурност на инфраструктурата (CISA) вече добави CVE-2024-38112 към своя каталог на известните експлоатирани уязвимости (KEV) и призова организациите да прилагат смекчаващите мерки на Microsoft за уязвимостта. Федералните граждански агенции от изпълнителната власт имат срок до 30 юли да отстранят проблема или да преустановят използването на засегнатите продукти, докато не отстранят проблема.
Грешката Trident е една от двете нулеви дати от юлската актуализация на Microsoft, които CISA добави в своя каталог KEV. Другата е CVE-2024-38080, недостатък за увеличаване на привилегиите в технологията за виртуализация Microsoft Windows Hyper-V. Microsoft заяви, че уязвимостта позволява на атакуващ с локален достъп да придобие привилегии на системно ниво.
Като цяло Microsoft пусна поправки за общо 139 уязвимости в своите продукти, което прави юлската актуализация по-голяма по обем на CVE от актуализациите на компанията за май и юни, взети заедно.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.