Windows-Sicherheitslücke Nutzt Braille “Leerzeichen” In Zero-Day-Angriffen

 Windows-Sicherheitslücke Nutzt Braille “Leerzeichen” In Zero-Day-Angriffen

Eine kürzlich behobene Sicherheitsanfälligkeit in Windows, die als "MSHTML-Spoofing-Sicherheitsanfälligkeit" bekannt ist und unter CVE-2024-43461 verfolgt wird, wurde nun als zuvor ausgenutzt markiert. Diese Schwachstelle wurde von der APT-Hackergruppe Void Banshee in Angriffen verwendet, um Malware zu installieren, die Informationen stiehlt.

Wichtige Erkenntnisse

  • Die Sicherheitsanfälligkeit CVE-2024-43461 wurde in Angriffen von Void Banshee ausgenutzt.
  • Die Angriffe zielten darauf ab, Informationen zu stehlen und finanziellen Gewinn zu erzielen.
  • Die Schwachstelle wurde ursprünglich im September 2024 als Teil des Patch Tuesday von Microsoft bekannt gegeben.
  • Die Angriffe verwendeten auch eine andere Schwachstelle, die als CVE-2024-38112 bekannt ist.

Die Entdeckung der CVE-2024-43461-Sicherheitsanfälligkeit wurde Peter Girnus, einem Senior Threat Researcher bei Trend Micro, zugeschrieben. Girnus erklärte, dass die Schwachstelle in Zero-Day-Angriffen von Void Banshee verwendet wurde, um Informationen zu stehlen.

Details Zu Den Angriffen

Im Juli berichteten Check Point Research und Trend Micro über Angriffe, die Windows-Zero-Days ausnutzten, um Geräte mit dem Atlantida-Info-Stealer zu infizieren. Diese Malware wurde verwendet, um Passwörter, Authentifizierungscookies und Kryptowährungs-Wallets von infizierten Geräten zu stehlen.

Die Angriffe nutzten die Zero-Days CVE-2024-38112 (im Juli behoben) und CVE-2024-43461 (diesen Monat behoben) als Teil der Angriffsstruktur.

Die Entdeckung der CVE-2024-38112-Sicherheitsanfälligkeit wurde Haifei Li von Check Point Research zugeschrieben. Li erklärte, dass die Angreifer spezielle Windows-Internet-Verknüpfungsdateien (.url-Erweiterung) verwendeten, die beim Klicken den Internet Explorer anstelle von Microsoft Edge öffneten, um die bösartige URL zu besuchen.

Die Rolle Der Braille-Leerzeichen

Die CVE-2024-43461-Sicherheitsanfälligkeit wurde auch in den Angriffen von Void Banshee verwendet, um eine CWE-451-Bedingung durch HTA-Dateinamen zu schaffen, die 26 kodierte Braille-Leerzeichen (%E2%A0%80) enthielten, um die .hta-Erweiterung zu verbergen.

Ein Beispiel für einen solchen Dateinamen könnte wie folgt aussehen:

Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta

Wenn Windows diese Datei öffnete, schoben die Braille-Leerzeichen die HTA-Erweiterung außerhalb der Benutzeroberfläche, sodass sie nur durch eine "…"-Zeichenfolge in den Windows-Eingabeaufforderungen gekennzeichnet war. Dies führte dazu, dass die HTA-Dateien wie PDF-Dateien aussahen, was die Wahrscheinlichkeit erhöhte, dass sie geöffnet wurden.

Sicherheitsupdates Und Zukünftige Maßnahmen

Nach der Installation des Sicherheitsupdates für CVE-2024-43461 zeigt Windows nun die tatsächliche .hta-Erweiterung in den Eingabeaufforderungen an. Girnus weist jedoch darauf hin, dass die enthaltenen Leerzeichen die Benutzer weiterhin verwirren könnten, sodass sie denken, die Datei sei eine PDF-Datei.

Microsoft hat auch drei andere aktiv ausgenutzte Zero-Days im September-Patch Tuesday behoben, darunter CVE-2024-38217, das in LNK-Stomping-Angriffen verwendet wurde, um die Mark of the Web-Sicherheitsfunktion zu umgehen.

Quellen