Zero-day no Windows MSHTML

16 de Setembro de 2024

Uma vulnerabilidade recentemente corrigida no "Windows MSHTML", identificada como CVE-2024-43461 , agora está sendo reconhecida como previamente explorada, depois de ter sido utilizada em ataques pelo grupo de hacking APT Void Banshee.

Quando revelada inicialmente como parte do Patch Tuesday de setembro de 2024, a Microsoft não havia indicado que a vulnerabilidade havia sido previamente explorada.

No entanto, na sexta-feira(13), a Microsoft atualizou o aviso do CVE-2024-43461 para indicar que ela foi explorada em ataques antes de ser corrigida.

A descoberta da falha foi atribuída a Peter Girnus, um Senior Threat Researcher na Zero Day da Trend Micro, que informou que a falha CVE-2024-43461 foi explorada em ataques zero-day pelo Void Banshee para instalar malware de roubo de informações.

Void Banshee é um grupo de hacking APT inicialmente rastreado pela Trend Micro, que tem como alvo organizações na América do Norte, Europa e Sudeste Asiático para roubar dados e obter ganhos financeiros.

Em julho, a Check Point Research e a Trend Micro reportaram sobre os mesmos ataques que exploraram vulnerabilidades zero-day do Windows para infectar dispositivos com o malware Atlantida info-stealer, usado para roubar senhas, cookies de autenticação e carteiras de criptomoedas de dispositivos infectados.

Os ataques utilizaram zero-days identificados como CVE-2024-38112 (corrigido em julho) e CVE-2024-43461 (corrigido este mês) como parte da cadeia de ataque.

A descoberta do zero-day CVE-2024-38112 foi atribuída ao pesquisador da Check Point, Haifei Li, que diz que ele foi usado para forçar o Windows a abrir sites maliciosos no Internet Explorer em vez do Microsoft Edge ao lançar arquivos de atalho especialmente criados.

"Especificamente, os atacantes utilizaram arquivos especiais de Atalho da Internet do Windows (.url extension name), que, ao serem clicados, chamariam o já aposentado Internet Explorer (IE) para visitar a URL controlada pelo atacante," explicou Li em um relatório de julho da Check Point Research.

Essas URLs eram usadas para baixar um arquivo HTA malicioso e pedir ao usuário para abri-lo.

Quando aberto, um script era executado para instalar o malware Atlantida info-stealer.

Os arquivos HTA utilizavam outro zero-day identificado como CVE-2024-43461 para esconder a extensão do arquivo HTA e fazer com que o arquivo parecesse um PDF quando o Windows perguntava aos usuários se deveria ser aberto, conforme mostrado abaixo.

O pesquisador da ZDI, Peter Girnus, informou que a falha CVE-2024-43461 também foi usada nos ataques do Void Banshee para criar uma condição CWE-451 através de nomes de arquivos HTA que incluíam 26 caracteres de espaço em branco codificados em braille (%E2%A0%80) para esconder a extensão .hta.

Como você pode ver abaixo, o nome do arquivo começa como um arquivo PDF, mas inclui vinte e seis caracteres de espaço em branco em braille codificados repetidos (%E2%A0%80), seguidos por uma extensão final '.hta'.

Quando o Windows abre este arquivo, os caracteres de espaço em branco em braille empurram a extensão HTA para fora da interface do usuário, apenas delineada por uma string '...' nas prompts do Windows, como visto abaixo.

Isso fazia com que os arquivos HTA parecessem arquivos PDF, tornando-os mais propensos a serem abertos.

Após instalar a atualização de segurança para CVE-2024-43461 , Girnus diz que o espaço em branco não é removido, mas agora o Windows mostra a verdadeira extensão .hta do arquivo nas prompts.

Infelizmente, essa correção não é perfeita, já que o espaço em branco incluído provavelmente ainda confundirá as pessoas, fazendo com que pensem que o arquivo é um PDF em vez de um arquivo HTA.

A Microsoft corrigiu outros três zero-days ativamente explorados no Patch Tuesday de setembro, incluindo o CVE-2024-38217 , que foi explorado em ataques de LNK stomping para burlar o recurso de segurança Mark of the Web.

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...