مهاجمان در حال بهره برداری از آسیب پذیری zero-day در پلتفرم Windows MSHTML و ترکیب آن با یک آسیب پذیری zero-day دیگر هستند.
مایکروسافت این آسیب پذیری را در وصله های ماه جاری رفع نموده است اما گروه Void Banshee از قبل از ماه جولای در حال بهره برداری از آن بودند.
آسیب پذیری مذکور با شماره CVE-2024-43461 یک آسیب پذیری Spoofing از راه دور در موتور مرورگر MSHTML و یکی از دو حفره امنیتی ای است که توسط این گروه مورد بهره برداری قرار گرفته است.
بر روی تمامی نسخه های ویندوز اثر دارد
این آسیب پذیری بر روی تمامی نسخه های ویندوز اثر داشته و به مهاجم امکان داشتن راهی برای دسترسی از راه دور و اجرای کد دلخواه بر روی سیستم آلوده را میدهد. مهاجم باید یک قربانی بالقوه را متقاعد کند تا از وبسایت مخربی بازدید کرده یا روی یک لینک ناامن کلیک کند تا بتوانند بهره برداری را انجام دهد.
ابتدا در تاریخ 10 سپتامبر و با شناسایی این آسیب پذیری مایکروسافت به آن امتیاز 8.8 داد و آن را در دسته آسیب پذیری های zero-day قرار نداد. اما 13 سپتامبر مشخص شد که این آسیب پذیری به همراه آسیب پذیری CVE-2024-38112 که ماه جولای رفع شده بود، به صورت زنجیره ای توسط مهاجمان مورد بهره برداری قرار گرفته است.
مایکروسافت از کاربران خود میخواهد که وصله های امنیتی مخصوصا برای دو ماه جولای و سپتامبر را حتما دانلود و نصب نمایند تا از این آسیب پذیری محفوظ بمانند
آسیب پذیری CVE-2024-43461 مشابه آسیب پذیری CVE-2024-38112 بوده و در این مورد مهاجم می تواند با استفاده از مرورگر اطلاعات اشتباهی به نمایش بگذارد.
در یکی از حملاتی که از این آسیب پذیری ها بهره برداری شده، دیده شده است که قربانی با استفاده از فایل های مخرب جعلی به عنوان یک کتاب PDF قربانی را متقاعد کرده و از طریق سرورهای دیکسورد و وبسایت های اشتراک فایل و … توزیع شده اند.
طبق گزارش مایکروسافت، مشخص شده است که مهاجمان با استفاده از آسیب پذیری CVE-2024-43461 به عنوان بخشی از زنجیره حمله ای که شامل CVE-2024-38112 نیز می شود، استفاده می کنند.
به گفته محققین مهاجمان با استفاده از آسیب پذیری CVE-2024-38112 قربانی را به یک صفحه بارگزاری HTML از طریق مرورگر اینترنت اکسپلورر و پروتکل MHTML هدایت کرده و در نهایت با استفاده از آسیب پذیری CVE-2024-38112 یک فایل مخرب را به عنوان یک فایل PDF به قربانی نمایش میدهد.
در گزارشات منتشر شده توسط Trend Micro در مورد سواستفاده Void Banshee از CVE-2024-38112 ذکر شده است که این حفره امنیتی نمونه بارز این موضوع است که چگونه سازمانها میتوانند توسط «آثار ویندوز پشتیبانینشده» مانند MSHTML آسیب دیده و مهاجمان می توانند باجافزار، backdoor یا سایر بدافزارها در سیستم های سازمان مستقر کنند. سطح حمله نیز قابل توجه است: مطالعه ای که Sevco بر روی 500000 سیستم ویندوز 10 و 11 بلافاصله پس از افشای CVE-2024-38112 توسط مایکروسافت انجام داد، نشان داد که بیش از 10٪ موارد مورد بررسی قرار گرفته هیچگونه کنترل امنیتی اندپوینت نداشته و تقریباً 9 درصد در خصوص نصب وصله ها کنترلی نداشته و در مقابل تهدیدات کاملا بدون دفاع هستند.
وجود حفره هایی مانند نداشتن امنیت اندپوینت ها یا مدیریت وصله ها روی دستگاههای آسیب پذیر، خطرات را افزایش داده و عوامل مخرب می توانند از آسیب پذیری هایی مثل آسیب پذیری مذکور بهره برداری نمایند.
منبع: