A CISA ordenou que as agências federais dos Estados Unidos protejam seus sistemas contra um bug recentemente corrigido de spoofing do MSHTML do Windows, explorado pelo grupo de hackers APT Void Banshee.
A vulnerabilidade (
CVE-2024-43461
) foi divulgada durante o Patch Tuesday deste mês, e a Microsoft inicialmente a classificou como não explorada em ataques.
No entanto, a Microsoft atualizou o comunicado na sexta-feira(13) para confirmar que ela havia sido explorada em ataques antes de ser corrigida.
A Microsoft revelou que os atacantes exploraram o
CVE-2024-43461
antes de julho de 2024 como parte de uma cadeia de exploração com o
CVE-2024-38112
, outro bug de spoofing do MSHTML.
"Lançamos uma correção para o
CVE-2024-38112
em nossas atualizações de segurança de julho de 2024, o que interrompeu essa cadeia de ataques," informou.
Os clientes devem aplicar tanto a atualização de segurança de julho de 2024 quanto a de setembro de 2024 para se protegerem completamente.
Peter Girnus, pesquisador de ameaças da Trend Micro Zero Day Initiative (ZDI), que reportou a falha de segurança, informou que hackers da Void Banshee a exploraram em ataques zero-day para instalar malware de roubo de informações.
A vulnerabilidade permite que atacantes remotos executem código arbitrário em sistemas Windows não atualizados, enganando os alvos para que visitem uma página da web maliciosamente elaborada ou abram um arquivo malicioso.
"A falha específica existe na maneira como o Internet Explorer avisa o usuário após o download de um arquivo," explica o comunicado da ZDI.
Um nome de arquivo elaborado pode fazer com que a verdadeira extensão do arquivo seja ocultada, levando o usuário a acreditar que o tipo de arquivo é inofensivo.
Um atacante pode aproveitar essa vulnerabilidade para executar código no contexto do usuário atual.
Eles usaram exploits do
CVE-2024-43461
para entregar arquivos HTA maliciosos disfarçados de documentos PDF.
Para ocultar a extensão .hta, eles usaram 26 caracteres em branco codificados em braille (%E2%A0%80).
Conforme revelado em julho pela Check Point Research e Trend Micro, o malware de roubo de informações Atlantida, implantado nestes ataques, pode ajudar a roubar senhas, cookies de autenticação e carteiras de criptomoedas de dispositivos infectados.
Void Banshee é um grupo de hackers APT identificado pela primeira vez pela Trend Micro, conhecido por mirar em organizações na América do Norte, Europa e Sudeste Asiático para ganho financeiro e roubo de dados.
Hoje, a CISA adicionou a vulnerabilidade de spoofing do MSHTML ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, marcando-a como ativamente explorada e ordenando que as agências federais protejam os sistemas vulneráveis dentro de três semanas até 7 de outubro, conforme determinado pela Diretiva Operacional Vinculante (BOD) 22-01.
"Esse tipo de vulnerabilidade é frequentemente vetor de ataque para atores cibernéticos maliciosos e representa riscos significativos para a empresa federal," disse a agência de cibersegurança.
Embora o catálogo KEV da CISA se concentre principalmente em alertar as agências federais sobre falhas de segurança que devem ser corrigidas o mais rápido possível, organizações privadas em todo o mundo também são aconselhadas a priorizar a mitigação dessa vulnerabilidade para bloquear ataques em andamento.
A Microsoft corrigiu outros três zero-days ativamente explorados no Patch Tuesday de setembro de 2024.
Isso inclui o
CVE-2024-38217
, uma vulnerabilidade explorada em ataques de LNK stomping desde pelo menos 2018 para contornar o Smart App Control e o recurso de segurança Mark of the Web (MotW).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...