微软将修复的漏洞重新分类为零日漏洞

重点摘要

微软在本月的 Patch Tuesday 更新中，将其修复的一个漏洞重新归类为零日漏洞，该漏洞自七月前就被“VoidBanshee”高级持续性威胁（APT）组织利用。该漏洞在所有受支持的 Windows版本中均存在，攻击者需要诱使受害者访问恶意网页或点击不安全链接以进行攻击。为了确保全面保护，用户应及时应用去年七月和九月的安全更新。

漏洞概述

该漏洞被标识为 ，为一种可远程利用的平台欺骗漏洞，存在于微软继续包括的旧 MSHTML (Trident) 浏览器引擎中，以确保向后兼容性。此外，这是 Void Banshee 正在使用的两个非常相似问题之一，相关链接可见 。

影响所有受支持的 Windows 版本

该漏洞影响所有受支持版本的 Windows，并允许远程攻击者在受影响系统上执行任意代码。然而，攻击者需要说服潜在受害者访问恶意网页或点击不安全链接，才能实现利用。微软在 9 月 10日初步披露该漏洞时，为其打上了 10 分制 CVSS 评分的 8.8。最初并未将其标记为零日漏洞，但在 9 月 13日更新时，微软修正了这一评估，确认攻击者实际上已在利用该漏洞。

微软表示：“我们在 2024 年 7 月发布了针对 的修复，这打破了这一攻击链。” 公司希望客户能够及时应用来自 2024 年 7 月和 9 月的更新，以全面保护自己免受针对 CVE-2024-43461 的攻击。美国网络安全和基础设施安全局（CISA）在 9 月 16日已将此漏洞添加到其已知利用漏洞数据库中，并要求联邦机构在 10 月 7 日之前实施相应的缓解措施。

报告的攻击链

CVE-2024-43461 与 CVE-2024-38112 非常相似，允许攻击者造成用户界面，即浏览器，显示错误数据。根据 的描述，漏洞允许对手发送特制的 URL 或互联网快捷方式文件，点击后即使在禁用状态下也会触发 InternetExplorer 打开恶意网址。Check Point 还观察到，威胁行为者利用一种新的独特技巧将恶意 HTML 应用程序（HTA）文件伪装成看似无害的 PDF 文档。

根据 Trend Micro 的零日倡议（ZDI）的说法，Void Banshee 在攻击中利用了这一漏洞，并在 Windows 系统上投放 Atlantida 恶意软件。在 Trend Micro 观察到的攻击中，威胁行为者通过伪装成书籍 PDF 的恶意文件诱骗受害者，这些文件通过 Discord 服务器、文件共享网站及其他渠道传播。Void Banshee 是一个有经济动机的威胁行为者，研究人员已观察到其针对北美、东南亚和欧洲的组织。

攻击链分析

根据微软更新后的通告，攻击者一直将 CVE-2024-43461 作为攻击链的一部分来使用，该链还涉及 CVE-2024-38112。Qualys之前指出，针对 CVE-2024-38112 的利用对 CVE-2024-43461 也同样有效，因两者几乎是完全相同的漏洞。

ZDI 的高级威胁研究员 Peter Girnus 表示，攻击者使用 CVE-2024-38112 通过 .URL 文件中的 MHTML协议处理程序导航到一个 HTML 登陆页面。“这个登陆页面包含一个 ，它下载一个 HTA 文件，而 HTA 扩展则利用 CVE-2024-43461 伪装成 PDF 让受害者产生误导。”

Girnus 说，ZDI 早已意识到攻击者在利用 CVE-2024-43461，但认为针对 CVE-2024-38112的补丁已经修复了问题。“不过我们反向分析了这个补丁，以发现伪装漏洞并未被修复。我们及时向微软发出了警报，”他说。

在对 Void Banshee 利用 CVE-2024-38112 的七月报告中，Trend Micro 指出，该漏洞是组织如何因未支持的 Windows遗留系统（如 MSHTML）而出错的典型案例，导致攻击者在其系统上植入勒索软件、后门及其他恶意软件。攻击面也相当大：Sevco 对 500,000 个 Windows 10 和 Windows 11 系统的研究显示，在微软披露 CVE-2024-38112 后，有超过 10% 的系统缺乏任何形式的端点保护，近 9% 缺乏补丁管理控制，完全对威胁视而不见。

“环境漏洞，如缺乏端点安全或设备上的补丁管理控制，再加上 CVE 漏洞，加大了公司将数据暴露于风险的可能性，使恶意行为者能够利用类似 的漏洞，”Sevco 联合创始人 GregFitzgerald 说。“对于企业而言，采取补丁更新这一漏洞的第一步至关重要，但不能停止于此。”