Хакеры использовали пробельные символы Брайля для атак на пользователей Windows

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Недавно исправленная уязвимость спуфинга MSHTML в Windows ( ), теперь отмечена как использующаяся в атаках.

Дело в том, что хак-группа Void Banshee применяла ее в своих операциях, используя символы из Unicode-блока шрифта Брайля для маскировки вредоносных файлов под PDF.

azbuka_brailia_1-850x400.jpg


Уязвимость была устранена в рамках сентябрьского вторника обновлений, но на тот момент Microsoft не сообщала, что проблема уже используется хакерами. Бюллетень, посвященный проблеме CVE-2024-43461, был обновлен этой информацией только в конце прошлой недели.

Проблема была обнаружена специалистами Trend Micro Zero Day Initiative (ZDI), которые и сообщали, что уязвимость использовалась в 0-day атаках группировкой Void Banshee, которая применяла CVE-2024-43461 для развертывания инфостилера.

Напомним, что в июле 2024 года исследователи Check Point Research и Trend Micro уже об атаках Void Banshee, в которых использовались уязвимость нулевого дня в Windows MSHTML. Таким образом хакеры распространяли инфостилер , используемый для кражи паролей, файлов аутентификации и данных криптовалютных кошельков с зараженных устройств.

В этих атаках использовали 0-day CVE-2024-38112 ( ) и CVE-2024-43461 (исправлена в этом месяце), объединенные в цепочку.

Баг CVE-2024-38112 обнаружил специалист Check Point Research Хайфей Ли (Haifei Li), который объяснял, что проблема используется хакерами при помощи специально подготовленных файлов интернет-ярлыков (.url), чтобы вынудить Windows открывать вредоносные сайты в Internet Explorer, а не в Microsoft Edge.

Все это использовалось для загрузки вредоносного HTA-файла, который предлагалось открыть пользователю. После открытия запускался вредоносный скрипт, который устанавливал на машину жертвы стилер Atlantida.

Как стало известно теперь, с упомянутыми файлами HTA использовался и другой 0-day баг — CVE-2024-43461, который скрывал расширение HTA и маскировал вредоносный файл под PDF, когда Windows спрашивала пользователя о том, следует ли его открывать.

Как рассказывает эксперт ZDI Питер Гирнус (Peter Girnus), уязвимость CVE-2024-43461 использовалась в атаках для провоцирования проблемы (искажение важной информации в пользовательском интерфейсе) в именах файлов HTA. Дело в том, что имена файлов содержали 26 пробельных , U+2800, Braille Pattern Blank), чтобы скрыть расширение .hta.

Так, имя файла начиналось как PDF, но затем шли 26 пробельных символов Брайля, и только после этого следовало окончательное расширение .hta:

Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80% E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80% E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80% E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta

В результате, когда Windows пытается открыть такой файл, пробельные символы Брайля вытесняют расширение HTA за пределы пользовательского интерфейса, и все ограничивается строкой «...». Из-за этого файлы HTA выглядят как файлы PDF, что повышает вероятность их открытия жертвой.



После патча для CVE-2024-43461 пробельные символы не удаляются, однако теперь Windows отображает фактическое расширение .hta в подсказках.




 
  • Теги
    microsoft символы брайля шрифт брайля
  • Сверху Снизу