Ciberseguridad 360 | Descubierta vulnerabilidad de Windows que utiliza espacios Braille en exploits ZeroDay

Una vulnerabilidad recientemente corregida �Windows MSHTML spoofing vulnerability� rastreada bajo CVE-2024-43461 est� ahora marcada como previamente explotada despu�s de que fuera utilizada en ataques por el grupo de hacking Void Banshee APT.

Cuando se dio a conocer por primera vez como parte del martes de parches de septiembre de 2024, Microsoft no hab�a marcado la vulnerabilidad como previamente explotada. Sin embargo, el viernes, Microsoft actualiz� el aviso CVE-2024-43461 para indicar que hab�a sido explotada en ataques anteriores a su correcci�n.

El descubrimiento del fallo se atribuy� a Peter Girnus, investigador principal de amenazas de Trend Micro's Zero Day, quien declar� que el fallo CVE-2024-43461 fue explotado en ataques de d�a cero por Void Banshee para instalar malware de robo de informaci�n.

Void Banshee es un grupo de hacking APT rastreado por primera vez por Trend Micro que tiene como objetivo organizaciones de Norteam�rica, Europa y el Sudeste Asi�tico para robar datos y obtener beneficios econ�micos.

El d�a cero CVE-2024-43461

En julio, Check Point Research y Trend Micro informaron de los mismos ataques que aprovechaban los d�as cero de Windows para infectar dispositivos con el ladr�n de informaci�n Atlantida, utilizado para robar contrase�as, cookies de autenticaci�n y monederos de criptomonedas de los dispositivos infectados.

Los ataques utilizaron los d�as cero rastreados como CVE-2024-38112 (corregido en julio) y CVE-2024-43461 (corregido este mes) como parte de la cadena de ataque.

El descubrimiento del d�a cero CVE-2024-38112 se atribuy� al investigador de Check Point Haifei Li, quien afirma que se utiliz� para forzar a Windows a abrir sitios web maliciosos en Internet Explorer en lugar de Microsoft Edge al iniciar archivos de acceso directo especialmente dise�ados.

�En concreto, los atacantes utilizaban archivos especiales de acceso directo a Internet de Windows (nombre de extensi�n .url) que, al hacer clic, llamaban al retirado Internet Explorer (IE) para visitar la URL controlada por el atacante�, explicaba Li en un informe de julio de Check Point Research.

Estas URL se utilizaban para descargar un archivo HTA malicioso y pedir al usuario que lo abriera. Una vez abierto, se ejecutaba un script para instalar el ladr�n de informaci�n Atlantida.

Los archivos HTA utilizaban un d�a cero diferente rastreado como CVE-2024-43461 para ocultar la extensi�n de archivo HTA y hacer que el archivo apareciera como un PDF cuando Windows preguntaba a los usuarios si deb�an abrirlo, como se muestra a continuaci�n.

El investigador de ZDI Peter Girnus dijo que el fallo CVE-2024-43461 tambi�n se utiliz� en los ataques Void Banshee para crear una condici�n CWE-451 a trav�s de nombres de archivo HTA que inclu�an 26 caracteres de espacio en blanco en braille codificados (%E2%A0%80) para ocultar la extensi�n .hta.

Como se puede ver a continuaci�n, el nombre del archivo comienza como un archivo PDF pero incluye veintis�is caracteres repetidos de espacio en blanco codificados en braille (%E2%A0%80) seguidos de una extensi�n final '.hta'.

Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta

Cuando Windows abre este archivo, los caracteres de espacio en blanco en braille empujan la extensi�n HTA fuera de la interfaz de usuario, s�lo delineada por una cadena '...' en los avisos de Windows, como se ve a continuaci�n. Esto hac�a que los archivos HTA aparecieran como archivos PDF, con lo que era m�s probable que se abrieran.

Los espacios en blanco en braille impiden ver la ampliaci�n de la HTA

Fuente: Trend Micro

Despu�s de instalar la actualizaci�n de seguridad para CVE-2024-43461, Girnus dice que no se eliminan los espacios en blanco, pero Windows muestra ahora la extensi�n .hta real del archivo en los avisos.

La actualizaci�n de seguridad muestra ahora la extensi�n HTA

Fuente: Peter Girnus

Desgraciadamente, esta soluci�n no es perfecta, ya que los espacios en blanco incluidos seguir�n confundiendo a la gente, que pensar� que el archivo es un PDF y no un archivo HTA.

Microsoft corrigi� otros tres d�as cero activamente explotados en el parche del martes de septiembre, incluido CVE-2024-38217, que se explotaba en ataques de pisot�n de LNK para eludir la funci�n de seguridad Mark of the Web.

Fuente: bleepingcomputer