Ευπάθεια Windows καταχράστηκε από τη Void Banshee σε επιθέσεις zero-day
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Ευπάθεια Windows καταχράστηκε από τη Void Banshee σε επιθέσεις zero-day
https://www.secnews.gr/619011/efpatheia-windows-kataxrastike-apo-void-banshee-epitheseis-zero-day/
Sep 16th 2024, 12:30
Μια πρόσφατα διορθωμένη "ευπάθεια πλαστογράφησης MSHTML των Windows" που παρακολουθείται ως CVE-2024-43461, επιβεβαιώθηκε ότι εκμεταλλεύτηκε στο παρελθόν αφού χρησιμοποιήθηκε σε επιθέσεις zero-day από την ομάδα Void Banshee APT.
Δείτε επίσης: Η Adobe διορθώνει zero-day ευπάθεια στο Acrobat Reader (με PoC exploit)
Όταν αποκαλύφθηκε για πρώτη φορά ως μέρος της ενημέρωσης Patch Tuesday Σεπτεμβρίου 2024, η Microsoft δεν είχε επισημάνει την ευπάθεια όπως είχε γίνει στο παρελθόν. Ωστόσο, την Παρασκευή, η Microsoft ανακοίνωσε ότι είχε εκμεταλλευτεί σε επιθέσεις πριν επιδιορθωθεί.
Η ανακάλυψη του ελαττώματος αποδόθηκε στον Peter Girnus, ανώτερο ερευνητή απειλών στο Trend Micro's Zero Day, ο οποίος δήλωσε ότι το ελάττωμα CVE-2024-43461 αξιοποιήθηκε σε επιθέσεις zero-day από τη Void Banshee, για την εγκατάσταση κακόβουλου λογισμικού που κλέβει πληροφορίες.
Η Void Banshee είναι μια ομάδα hacking APT που ανακαλύφθηκς για πρώτη φορά από την Trend Micro και στοχεύει οργανισμούς στη Βόρεια Αμερική, την Ευρώπη και τη Νοτιοανατολική Ασία για κλοπή δεδομένων και για οικονομικό όφελος.
Τον Ιούλιο, τόσο η Check Point Research όσο και η Trend Micro, ανέφεραν επιθέσεις zero-days με στόχο τη μόλυνση συσκευών με το info-stealer Atlantida, που χρησιμοποιείται για την κλοπή κωδικών πρόσβασης, cookies ελέγχου ταυτότητας και πορτοφολιών κρυπτονομισμάτων από μολυσμένες συσκευές. Οι επιθέσεις χρησιμοποίησαν τα zero-days που παρακολουθούνται ως CVE-2024-38112 και CVE-2024-43461 ως μέρος της αλυσίδας επιθέσεων.
Η ανακάλυψη του CVE-2024-38112 zero-day αποδόθηκε στον ερευνητή της Check Point, Haifei Li, ο οποίος λέει ότι χρησιμοποιήθηκε για να εξαναγκάσει τα Windows να ανοίγουν κακόβουλους ιστότοπους στον Internet Explorer αντί του Microsoft Edge κατά την εκκίνηση των ειδικά δημιουργημένων αρχείων συντομεύσεων.
Δείτε ακόμα: Η Microsoft επιδιορθώνει zero-day στο Windows Smart App Control
Αυτές οι διευθύνσεις URL χρησιμοποιήθηκαν για τη λήψη ενός κακόβουλου αρχείου HTA και την προτροπή του χρήστη να το ανοίξει. Όταν άνοιγε, θα έτρεχε ένα σενάριο για να εγκαταστήσει το πρόγραμμα κλοπής πληροφοριών Atlantida.
Τα αρχεία HTA χρησιμοποίησαν ένα διαφορετικό zero-day παρακολούθησης ως CVE-2024-43461 για να αποκρύψουν την επέκταση αρχείου HTA και να κάνουν το αρχείο να εμφανίζεται ως PDF όταν τα Windows ζητούσαν από τους χρήστες να αποφασίσουν εάν πρέπει να ανοίξει.
Ο ερευνητής Peter Girnus είπε ότι το ελάττωμα CVE-2024-43461 χρησιμοποιήθηκε επίσης στις επιθέσεις Void Banshee για τη δημιουργία μιας συνθήκης CWE-451 μέσω ονομάτων αρχείων HTA που περιλάμβαναν 26 κωδικοποιημένους χαρακτήρες κενού διαστήματος μπράιγ για απόκρυψη της επέκτασης .hta.
Μετά την εγκατάσταση της ενημερωμένης έκδοσης ασφαλείας για το CVE-2024-43461, ο Girnus λέει ότι το κενό διάστημα δεν έχει αφαιρεθεί, αλλά τα Windows εμφανίζουν τώρα την πραγματική επέκταση .hta για το αρχείο στα μηνύματα.
Δυστυχώς, αυτή η επιδιόρθωση δεν είναι τέλεια, καθώς το κενό διάστημα που περιλαμβάνεται πιθανότατα θα εξακολουθεί να μπερδεύει τους ανθρώπους να πιστεύουν ότι το αρχείο είναι αρχείο PDF και όχι HTA.
Δείτε επίσης: Βορειοκορεάτες hackers διανέμουν το rootkit FudModule μέσω Chrome zero-day
Οι επιθέσεις zero-day αποτελούν μια από τις πιο επικίνδυνες απειλές για την ασφάλεια των πληροφοριακών συστημάτων. Συμβαίνουν όταν οι χάκερ εκμεταλλεύονται ευπάθειες σε λογισμικό ή συστήματα που δεν έχουν εντοπιστεί ή διορθωθεί ακόμη από τους κατασκευαστές. Αυτές οι ευπάθειες, που ονομάζονται zero-day, είναι ιδιαιτέρως επικίνδυνες γιατί δεν υπάρχει διαθέσιμη ενημέρωση λογισμικού ή επιδιόρθωση για την προστασία των χρηστών. Έτσι, οι επιθέσεις αυτές μπορεί να οδηγήσουν σε κλοπή δεδομένων, καταστροφή συστημάτων ή ακόμα και πλήρη παραβίαση του ιδιωτικού απορρήτου.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Ευπάθεια Windows καταχράστηκε από τη Void Banshee σε επιθέσεις zero-day
https://www.secnews.gr/619011/efpatheia-windows-kataxrastike-apo-void-banshee-epitheseis-zero-day/
Sep 16th 2024, 12:30
Μια πρόσφατα διορθωμένη "ευπάθεια πλαστογράφησης MSHTML των Windows" που παρακολουθείται ως CVE-2024-43461, επιβεβαιώθηκε ότι εκμεταλλεύτηκε στο παρελθόν αφού χρησιμοποιήθηκε σε επιθέσεις zero-day από την ομάδα Void Banshee APT.
Δείτε επίσης: Η Adobe διορθώνει zero-day ευπάθεια στο Acrobat Reader (με PoC exploit)
Όταν αποκαλύφθηκε για πρώτη φορά ως μέρος της ενημέρωσης Patch Tuesday Σεπτεμβρίου 2024, η Microsoft δεν είχε επισημάνει την ευπάθεια όπως είχε γίνει στο παρελθόν. Ωστόσο, την Παρασκευή, η Microsoft ανακοίνωσε ότι είχε εκμεταλλευτεί σε επιθέσεις πριν επιδιορθωθεί.
Η ανακάλυψη του ελαττώματος αποδόθηκε στον Peter Girnus, ανώτερο ερευνητή απειλών στο Trend Micro's Zero Day, ο οποίος δήλωσε ότι το ελάττωμα CVE-2024-43461 αξιοποιήθηκε σε επιθέσεις zero-day από τη Void Banshee, για την εγκατάσταση κακόβουλου λογισμικού που κλέβει πληροφορίες.
Η Void Banshee είναι μια ομάδα hacking APT που ανακαλύφθηκς για πρώτη φορά από την Trend Micro και στοχεύει οργανισμούς στη Βόρεια Αμερική, την Ευρώπη και τη Νοτιοανατολική Ασία για κλοπή δεδομένων και για οικονομικό όφελος.
Τον Ιούλιο, τόσο η Check Point Research όσο και η Trend Micro, ανέφεραν επιθέσεις zero-days με στόχο τη μόλυνση συσκευών με το info-stealer Atlantida, που χρησιμοποιείται για την κλοπή κωδικών πρόσβασης, cookies ελέγχου ταυτότητας και πορτοφολιών κρυπτονομισμάτων από μολυσμένες συσκευές. Οι επιθέσεις χρησιμοποίησαν τα zero-days που παρακολουθούνται ως CVE-2024-38112 και CVE-2024-43461 ως μέρος της αλυσίδας επιθέσεων.
Η ανακάλυψη του CVE-2024-38112 zero-day αποδόθηκε στον ερευνητή της Check Point, Haifei Li, ο οποίος λέει ότι χρησιμοποιήθηκε για να εξαναγκάσει τα Windows να ανοίγουν κακόβουλους ιστότοπους στον Internet Explorer αντί του Microsoft Edge κατά την εκκίνηση των ειδικά δημιουργημένων αρχείων συντομεύσεων.
Δείτε ακόμα: Η Microsoft επιδιορθώνει zero-day στο Windows Smart App Control
Αυτές οι διευθύνσεις URL χρησιμοποιήθηκαν για τη λήψη ενός κακόβουλου αρχείου HTA και την προτροπή του χρήστη να το ανοίξει. Όταν άνοιγε, θα έτρεχε ένα σενάριο για να εγκαταστήσει το πρόγραμμα κλοπής πληροφοριών Atlantida.
Τα αρχεία HTA χρησιμοποίησαν ένα διαφορετικό zero-day παρακολούθησης ως CVE-2024-43461 για να αποκρύψουν την επέκταση αρχείου HTA και να κάνουν το αρχείο να εμφανίζεται ως PDF όταν τα Windows ζητούσαν από τους χρήστες να αποφασίσουν εάν πρέπει να ανοίξει.
Ο ερευνητής Peter Girnus είπε ότι το ελάττωμα CVE-2024-43461 χρησιμοποιήθηκε επίσης στις επιθέσεις Void Banshee για τη δημιουργία μιας συνθήκης CWE-451 μέσω ονομάτων αρχείων HTA που περιλάμβαναν 26 κωδικοποιημένους χαρακτήρες κενού διαστήματος μπράιγ για απόκρυψη της επέκτασης .hta.
Μετά την εγκατάσταση της ενημερωμένης έκδοσης ασφαλείας για το CVE-2024-43461, ο Girnus λέει ότι το κενό διάστημα δεν έχει αφαιρεθεί, αλλά τα Windows εμφανίζουν τώρα την πραγματική επέκταση .hta για το αρχείο στα μηνύματα.
Δυστυχώς, αυτή η επιδιόρθωση δεν είναι τέλεια, καθώς το κενό διάστημα που περιλαμβάνεται πιθανότατα θα εξακολουθεί να μπερδεύει τους ανθρώπους να πιστεύουν ότι το αρχείο είναι αρχείο PDF και όχι HTA.
Δείτε επίσης: Βορειοκορεάτες hackers διανέμουν το rootkit FudModule μέσω Chrome zero-day
Οι επιθέσεις zero-day αποτελούν μια από τις πιο επικίνδυνες απειλές για την ασφάλεια των πληροφοριακών συστημάτων. Συμβαίνουν όταν οι χάκερ εκμεταλλεύονται ευπάθειες σε λογισμικό ή συστήματα που δεν έχουν εντοπιστεί ή διορθωθεί ακόμη από τους κατασκευαστές. Αυτές οι ευπάθειες, που ονομάζονται zero-day, είναι ιδιαιτέρως επικίνδυνες γιατί δεν υπάρχει διαθέσιμη ενημέρωση λογισμικού ή επιδιόρθωση για την προστασία των χρηστών. Έτσι, οι επιθέσεις αυτές μπορεί να οδηγήσουν σε κλοπή δεδομένων, καταστροφή συστημάτων ή ακόμα και πλήρη παραβίαση του ιδιωτικού απορρήτου.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια