CISA ha ordenado a las agencias federales de EE. UU. que protejan sus sistemas del recientemente corregido error de día cero de suplantación de MSHTML de Windows explotado por el grupo de hackers Void Banshee APT.
La vulnerabilidad (CVE-2024-43461) se reveló el martes de parches de este mes y Microsoft inicialmente la clasificó como no explotada en ataques. Sin embargo, Microsoft actualizó el aviso el viernes para confirmar que estaba siendo explotado en ataques antes de que se solucionara.
Microsoft reveló que los atacantes explotaron CVE-2024-43461 antes de julio de 2024 como parte de una cadena de exploits con otro error de suplantación de MSHTML, CVE-2024-38112.
“Lanzamos una solución para CVE-2024-38112 en la actualización de seguridad de julio de 2024, rompiendo esta cadena de ataque”, dijo la compañía. “Los clientes deben aplicar las actualizaciones de seguridad de julio de 2024 y septiembre de 2024 para protegerse por completo”.
Peter Gilnas, un investigador de amenazas de la Iniciativa de día cero (ZDI) de Trend Micro, que informó sobre la falla de seguridad, le dijo a BleepingComputer que los piratas informáticos de Void Banshee están explotando esta vulnerabilidad en ataques de día cero para crear malware para robar información. .
Esta vulnerabilidad podría permitir que un atacante remoto ejecute código arbitrario en un sistema Windows sin parches persuadiendo al usuario para que visite una página web creada con fines malintencionados o abra un archivo malicioso que podrá ejecutar.
“Este defecto particular existe en la forma en que Internet Explorer avisa a los usuarios después de descargar un archivo”, explica el aviso de ZDI. “Un nombre de archivo manipulado podría ocultar la extensión real del archivo, engañando al usuario haciéndole creer que el tipo de archivo es benigno. Un atacante podría aprovechar esta vulnerabilidad para poder ejecutar código en el contexto de
Utilizaron el exploit CVE-2024-43461 para entregar archivos HTA maliciosos disfrazados de documentos PDF. Se utilizaron 26 espacios codificados en Braille (%E2%A0%80) para ocultar la extensión .hta.
Archivos HTA disfrazados de documentos PDF (Trend Micro)
Como revelaron Check Point Research y Trend Micro en julio, el malware de robo de información Atlantida utilizado en estos ataques ayuda a robar contraseñas, cookies de autenticación y billeteras de criptomonedas de dispositivos infectados.
Void Banshee es un grupo de hackers de APT identificado por primera vez por Trend Micro y es conocido por apuntar a organizaciones en América del Norte, Europa y el Sudeste Asiático para obtener ganancias financieras y robo de datos.
Las agencias federales tendrán tres semanas para hacer correcciones.
Hoy, CISA agregó la vulnerabilidad de suplantación de identidad MSHTML a su catálogo de vulnerabilidades conocidas y explotadas y la etiquetó como una vulnerabilidad actualmente explotada, según lo exige la Directiva de Operaciones Vinculantes (BOD) 22-01 que ordenó a las agencias federales proteger los sistemas vulnerables en un plazo de tres semanas antes del 7 de octubre. .
“Este tipo de vulnerabilidades son un vector de ataque frecuente para ciberatacantes maliciosos y plantean riesgos importantes para las agencias federales”, dijo la agencia de ciberseguridad.
Aunque el catálogo KEV de CISA se centra principalmente en alertar a las agencias federales sobre fallas de seguridad que deben solucionarse lo antes posible, las organizaciones privadas de todo el mundo también utilizan este catálogo para bloquear ataques en curso. Se recomienda priorizar la mitigación de vulnerabilidades.
Microsoft solucionó otras tres vulnerabilidades de día cero explotadas activamente en el parche mensual de septiembre de 2024. Esto incluye la vulnerabilidad CVE-2024-38217, que ha sido explotada en ataques de pisotón LNK para eludir el control de aplicaciones inteligentes y las funciones de seguridad de la Marca de la Web (MotW) desde al menos 2018.
https://www.bleepingcomputer.com/news/security/cisa-warns-of-windows-flaw-used-in-infostealer-malware-attacks/
