**Microsoft подтверждает эксплуатацию уязвимости CVE-2024-43461 в Internet Explorer**
Microsoft недавно предоставила обновление по ранее раскрытой уязвимости в Internet Explorer, подтвердив, что уязвимость, идентифицированная как CVE-2024-43461, была использована как «нулевой день» до того, как была выпущена заплатка. Этот вопрос безопасности, оцененный на 8.8 из 10 по шкале CVSS, изначально описывался как «важная» уязвимость подмены, и Microsoft ранее заявляла, что она не была использована в дикой природе.
**Детали уязвимости**
Уязвимость позволяет атакующему скрыть истинное расширение файла, загруженного в Internet Explorer, используя непечатаемые символы Юникода для обмана пользователей, заставляя их открыть файл, который кажется безобидным. На самом деле это может привести к выполнению вредоносного кода на системе пользователя. Для эффективной эксплуатации этой уязвимости атакующему, вероятно, потребуется комбинировать её с другими уязвимостями.
Эта конкретная проблема, уязвимость подмены платформы MSHTML Windows, была сообщена Microsoft Питером Гирнусом из инициативы Zero Day компании Trend Micro (ZDI). По данным ZDI, уязвимость позволяет удалённым атакующим выполнять произвольный код на затронутых установках Windows, требуя взаимодействия пользователя через посещение вредоносной страницы или открытие вредоносного файла.
Внутренняя команда Microsoft, включая Майкла Маселлетти, Найи Цзян и человека, известного только как «Адель», также внесла вклад в обнаружение CVE-2024-43461. Выяснилось, что эта уязвимость ранее была использована группой по распространению вредоносного ПО под названием Void Banshee, которая использовала её вместе с другой уязвимостью, CVE-2024-38112, для компрометации систем жертв.
**Цепочка эксплуатации**
CVE-2024-38112, которая была исправлена в июле, позволяла атакующим использовать специально созданный файл ярлыка Windows Internet для открытия определённого URL в теперь уже устаревшем Internet Explorer. Void Banshee использовала эту уязвимость для активации CVE-2024-43461, обманывая пользователей и заставляя их выполнить вредоносный файл HTML Application (.hta), замаскированный под безобидную загрузку. Это в конечном итоге привело к развертыванию вредоносного ПО Atlantida на машинах жертв, позволяя атакующим похищать конфиденциальные данные, включая сохранённые учетные данные веб-сайтов.
В июле Microsoft поблагодарила Хайфея Ли из Check Point Research за обнаружение CVE-2024-38112, хотя ZDI также заявила о своей роли в выявлении уязвимости. Сложности вокруг этих уязвимостей подчеркивают совместный характер исследований в области кибербезопасности, где несколько организаций вносят вклад в выявление и отчётность по угрозам.
**Недавние события**
В этом месяце ZDI раскрыла уязвимость подмены типа файла 19 июля, а Microsoft выпустила исправление 10 сентября. Вскоре после этого Microsoft обновила своё уведомление, подтвердив, что CVE-2024-43461 была использована вместе с CVE-2024-38112 до июльского патча.
В заявлении Microsoft отметила, что патч для CVE-2024-38112 был предназначен для нарушения цепочки эксплуатации, призывая клиентов применить как июльские, так и сентябрьские обновления для комплексной защиты. Однако ZDI указала, что июльский патч не полностью устранил уязвимость, что потребовало последующего обновления для устранения проблемы с расширением файла и повторной активации Internet Explorer.
Дастин Чайлдс, глава отдела осведомленности о угрозах в ZDI, выразил удовлетворение признанием Microsoft ошибки скрытия расширения файла, подчеркнув важность точной отчётности по угрозам для защитников сети. Он отметил, что эксплуатация использовала комбинацию уязвимостей и хотя Microsoft считала июльский патч достаточным, он оставил некоторые векторы атаки незащищёнными.
По мере того как ландшафт кибербезопасности продолжает развиваться, сотрудничество между такими организациями как Microsoft, ZDI и Check Point Research играет ключевую роль в усилении защиты от новых угроз.
