Η CISA πρόσθεσε στον Κατάλογο Εκμεταλλευόμενων Ευπαθειών (KEV) μια ευπάθεια Windows MSHTML, η οποία έχει χρησιμοποιηθεί σε επιθέσεις από τη hacking ομάδα Void Banshee. Οι ομοσπονδιακές υπηρεσίες των ΗΠΑ καλούνται να εφαρμόσουν τις απαραίτητες ενημερώσεις για να προστατεύσουν τα συστήματά τους.
Η ευπάθεια, που παρακολουθείται ως CVE-2024-43461, αποκαλύφθηκε κατά τη διάρκεια του Patch Tuesday αυτού του μήνα. Αρχικά, η Microsoft δεν είχε στοιχεία για εκμετάλλευση της ευπάθειας. Ωστόσο, σε μια πιο πρόσφατη ενημέρωση, ανέφερε ότι η ευπάθεια είχε χρησιμοποιηθεί σε επιθέσεις πριν επιδιορθωθεί.
Η Microsoft αποκάλυψε ότι οι εισβολείς εκμεταλλεύτηκαν το CVE-2024-43461 πριν από τον Ιούλιο του 2024, ως μέρος μιας αλυσίδας εκμετάλλευσης με το CVE-2024-38112, ένα άλλο σφάλμα MSHTML.
Δείτε επίσης: CISA: Προσθέτει τρεις κρίσιμες ευπάθειες στον Κατάλογο KEV
“Κυκλοφορήσαμε μια επιδιόρθωση για το CVE-2024-38112 στις ενημερώσεις ασφαλείας του Ιουλίου 2024, σπάζοντας αυτήν την αλυσίδα επιθέσεων“, ανέφερε. “Οι πελάτες θα πρέπει να εφαρμόσουν και την ενημέρωση ασφαλείας του Ιουλίου 2024 και την ενημέρωση του Σεπτεμβρίου για να προστατευθούν πλήρως“, εξήγησε η εταιρεία.
Ο Peter Girnus, ο ερευνητής απειλών του Trend Micro Zero Day Initiative (ZDI) που ανέφερε την ευπάθεια, είπε ότι οι hackers Void Banshee το εκμεταλλεύτηκαν για την εγκατάσταση info-stealing malware (κακόβουλο λογισμικό που κλέβει πληροφορίες).
Η ευπάθεια επιτρέπει σε απομακρυσμένους εισβολείς να εκτελούν κώδικα σε συστήματα Windows, εξαπατώντας τους στόχους να επισκεφτούν μια κακόβουλα δημιουργημένη ιστοσελίδα ή να ανοίξουν ένα κακόβουλο αρχείο.
“Το συγκεκριμένο σφάλμα σχετίζεται με τον Internet Explorer και τη λήψη ενός αρχείου“, εξηγεί το ZDI. “Ένα επεξεργασμένο όνομα αρχείου μπορεί να αποκρύψει την πραγματική επέκταση αρχείου, παραπλανώντας τον χρήστη ώστε να πιστέψει ότι ο τύπος αρχείου είναι αβλαβής. Ένας εισβολέας μπορεί να αξιοποιήσει αυτήν την ευπάθεια για να εκτελέσει κώδικα στο πλαίσιο του τρέχοντος χρήστη“.
Οι επιτιθέμενοι χρησιμοποίησαν exploits για το CVE-2024-43461 για να παραδώσουν κακόβουλα αρχεία HTA, καμουφλαρισμένα ως έγγραφα PDF. Για να κρύψουν την επέκταση .hta, χρησιμοποίησαν 26 encoded braille whitespace characters (%E2%A0%80).
Δείτε επίσης: Η CISA επισημαίνει κρίσιμο σφάλμα στο Apache OFBiz
Το κακόβουλο λογισμικό κλοπής πληροφοριών Atlantida, που αναπτύσσεται σε αυτές τις επιθέσεις, μπορεί να βοηθήσει στην κλοπή κωδικών πρόσβασης, cookies ελέγχου ταυτότητας και crypto wallets.
CISA: Τρεις εβδομάδες προθεσμία για τις ομοσπονδιακές υπηρεσίες
Η CISA πρόσθεσε την ευπάθεια MSHTML στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών. Καλεί τις ομοσπονδιακές υπηρεσίες να ασφαλίσουν τα ευάλωτα συστήματα εντός τριών εβδομάδων και συγκεκριμένα έως τις 7 Οκτωβρίου.
Αν και ο κατάλογος KEV της CISA εστιάζει κυρίως στην ειδοποίηση των ομοσπονδιακών υπηρεσιών σχετικά με σφάλματα ασφαλείας, οι ιδιωτικοί οργανισμοί θα πρέπει, επίσης, να δώσουν προτεραιότητα στον μετριασμό αυτής της ευπάθειας.
CISA: Κατάλογος KEV
Ο κατάλογος KEV της CISA είναι πολύ χρήσιμος για τους οργανισμούς σε όλο τον κόσμο, που θέλουν να μαθαίνουν για τις νέες απειλές και ενδιαφέρονται για την καλύτερη διαχείριση ευπαθειών και την ιεράρχηση προτεραιοτήτων.
Γενικά, η CISA βοηθά πολύ στην προστασία και την αντιμετώπιση των απειλών κυβερνοασφάλειας. Ο οργανισμός αυτός συνεργάζεται με διάφορους τομείς, όπως οι ιδιωτικές επιχειρήσεις, οι κυβερνήσεις των πολιτειών και οι τοπικές αρχές, για να βελτιώσει την ασφάλεια των ψηφιακών συστημάτων.
Δείτε επίσης: CISA: Προσθέτει ευπάθεια Jenkins στον Κατάλογο KEV
Παρέχει πληροφορίες και εργαλεία για να βοηθήσει τους οργανισμούς να προστατεύσουν τα δίκτυά τους από κυβερνοεπιθέσεις και να αντιμετωπίσουν τυχόν επιθέσεις που μπορεί να συμβούν. Επιπλέον, ενημερώνει το κοινό για τυχόν ευάλωτα σημεία στα συστήματα και τις εφαρμογές που χρησιμοποιούνται ευρέως.
Συνολικά, ο ρόλος της CISA είναι ζωτικής σημασίας για την προστασία των ψηφιακών υποδομών των ΗΠΑ αλλά και άλλων περιοχών.
Πηγή: www.bleepingcomputer.com