Microsoft переклассифицировал уязвимость как нулевого дня

**Microsoft Переклассифицировала Ошибку в Уязвимость Нулевого Дня**

**Москва, 20 октября 2024 года** — Корпорация Microsoft недавно переклассифицировала ранее исправленную ошибку в своем сентябрьском обновлении Patch Tuesday как уязвимость нулевого дня. Этот дефект, обозначенный как CVE-2024-43461, эксплуатируется группой продвинутых постоянных угроз (APT) под названием «Void Banshee» с июля.

Уязвимость классифицируется как удаленно эксплуатируемая проблема подмены платформы в устаревшем браузерном движке MSHTML (Trident), который Microsoft сохраняет в Windows для обеспечения обратной совместимости. CVE-2024-43461 затрагивает все поддерживаемые версии Windows, позволяя удаленным злоумышленникам выполнять произвольный код на уязвимых системах. Для успешного использования уязвимости злоумышленнику необходимо убедить потенциальную жертву посетить вредоносную веб-страницу или кликнуть на небезопасную ссылку.

Первоначально Microsoft оценила серьезность этой уязвимости на 8.8 из 10 по шкале CVSS при ее раскрытии 10 сентября. На тот момент не было указаний на то, что это уязвимость нулевого дня. Однако 13 сентября Microsoft пересмотрела свою оценку, сообщив, что злоумышленники активно эксплуатировали этот дефект в рамках цепочки атак, связанной с CVE-2024-38112, другой уязвимостью подмены платформы MSHTML, исправленной в июле 2024 года. Microsoft заявила: «Мы выпустили исправление для CVE-2024-38112 в наших июльских обновлениях безопасности, что прервало эту цепочку атак».

Для полной защиты от эксплуатации CVE-2024-43461 Microsoft настоятельно рекомендует клиентам применить патчи из обновлений за июль и сентябрь 2024 года. После обновления Microsoft от 13 сентября Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавило эту уязвимость в свою базу известных эксплуатируемых уязвимостей 16 сентября, установив крайний срок для федеральных агентств по внедрению мер смягчения до 7 октября.

CVE-2024-43461 имеет сходство с CVE-2024-38112, позволяя злоумышленникам манипулировать пользовательскими интерфейсами—в частности, браузером—для отображения вводящих в заблуждение данных. Check Point Research, признанный Microsoft за обнаружение CVE-2024-38112, описал уязвимость как позволяющую злоумышленникам отправлять специально созданные URL или интернет-ссылки, которые при нажатии открывают вредоносный URL в Internet Explorer, даже если браузер отключен.

Кроме того, Check Point отметил, что злоумышленники использовали новую тактику маскировки вредоносных HTML-приложений (HTA) под безобидные PDF-документы во время своих атак. Инициатива Zero Day компании Trend Micro (ZDI), также заявившая о своем участии в обнаружении CVE-2024-38112, сообщила, что Void Banshee использовала эту уязвимость для развертывания вредоносного ПО Atlantida на системах Windows.

По данным Microsoft, злоумышленники использовали CVE-2024-43461 как часть скоординированной цепочки атак, включающей также CVE-2024-38112. Исследователи из Qualys ранее указали, что эксплойты, нацеленные на CVE-2024-38112, будут столь же эффективны против CVE-2024-43416 из-за их почти идентичной природы.

Microsoft продолжает работать над обеспечением безопасности своих пользователей и настоятельно рекомендует своевременно устанавливать все обновления безопасности.