.
Análise A Microsoft, em uma atualização discreta de suas divulgações do Patch Tuesday de setembro, confirmou que uma vulnerabilidade recém-corrigida do Internet Explorer foi explorada como um dia zero antes que pudesse ser corrigida.
Redmond corrigiu o bug de segurança – CVE-2024-43461, uma falha de falsificação “importante” com uma classificação de gravidade CVSS de 8,8 de 10 – em uma atualização emitida na semana passada.
Naquela época, a Microsoft disse que o buraco não foi explorado na natureza. Agora, a gigante do software diz que ele foi explorado antes do patch, tornando-o um dia zero por um tempo.
Basicamente, se você explorar o CVE-2024-43461, você pode esconder do usuário a verdadeira extensão do tipo de arquivo de um arquivo após ele terminar de baixar no Internet Explorer. Essa é uma maneira bacana, usando caracteres Unicode braille não imprimíveis, de enganar alguém para abrir um arquivo que parece um download inofensivo, mas que acaba executando um código malicioso. Para fazer isso de forma prática, um criminoso provavelmente terá que combinar essa falha com outras, e mais sobre isso em um minuto.
A falha – tecnicamente uma vulnerabilidade de falsificação da plataforma Windows MSHTML – foi relatada à Microsoft por Peter Girnus da Zero Day Initiative (ZDI) da Trend Micro, que na semana passada descreveu a falha assim:
A Microsoft disse que seus próprios funcionários Michael Macelletti, Naiyi Jiang e uma pessoa identificada apenas como “Adel” encontraram o CVE-2024-43461, assim como Girnus, da ZDI.
Acontece que o CVE-2024-43461 foi explorado anteriormente por uma gangue de disseminação de malware do Windows chamada Void Banshee, que abusou da falha com outra vulnerabilidade de falsificação de plataforma MSHTML, CVE-2024-38112, para infectar os sistemas das vítimas.
O bug 38112, corrigido em julho e reconhecido na época pela Microsoft como sendo explorado, permite que um arquivo de atalho de Internet do Windows especialmente criado, um arquivo .url, force o PC da vítima a abrir uma URL específica usando o Internet Explorer desativado e inativo.
Assim, o CVE-2024-38112 foi usado pelo Void Banshee para iniciar o IE e explorar o CVE-2024-43461, enganando o usuário para que ele abrisse um aplicativo HTML malicioso baixado (.hta) disfarçado como um arquivo inofensivo, o que acabou executando o malware Atlantida, que rouba informações, em sua máquina.
A vítima não saberia que estava iniciando um arquivo .hta devido à vulnerabilidade 43461. Ela seria atraída a abrir um arquivo .url, depois o aplicativo falsificado e, então, teria seus dados privados – incluindo credenciais de site salvas – roubados pela Atlantida. As informações roubadas seriam exfiltradas para uso de bandidos.
Em julho, a Microsoft deu crédito a Haifei Li da Check Point Research por descobrir e relatar o CVE-2024-38112, embora a ZDI tenha sentido que deveria ter recebido algum crédito também por encontrar e divulgar a falha. A Check Point entrou em detalhes aqui, em 9 de julho, para explicar como a falha 38112 foi explorada na natureza, e incluiu uma descrição do truque usado para esconder a extensão .mta sem citar um CVE para essa parte.
Avançando para este mês, a ZDI disse que divulgou privadamente a falha de falsificação de tipo de arquivo, agora conhecida como CVE-2024-43461, em 19 de julho e foi corrigida em 10 de setembro. Três dias depois, a Microsoft atualizou seu aviso sobre a vulnerabilidade com a seguinte nota reconhecendo que 43461 foi abusado na natureza junto com 38112:
Corrigir o bug 38112 deveria ter evitado que a cadeia de exploração acima funcionasse como esperado, protegendo os alvos, argumentou a Microsoft.
Curiosamente, em julho, quando a ZDI estava protestando, deveria ter recebido algum crédito por encontrar o CVE-2024-38112, disse O Registro ela revelou privadamente o aspecto de lançamento do IE para a Microsoft em maio. A equipe da Trend disse isso em seu próprio artigo técnico em 15 de julho, que também inclui uma descrição do bug de ocultação de tipo de arquivo.
Desembaraçando essa confusão, achamos que a ZDI e a Check Point praticamente encontraram e relataram os dois bugs para a Microsoft. A Microsoft deu créditos à ZDI por encontrar a falha de ocultação da extensão de arquivo .hta (CVE-2024-43461) este mês, depois de ter sido criticada anteriormente por relatar um problema de “defesa em profundidade”, e a Check Point foi nomeada pelo truque de inicialização do IE (CVE-2024-38112) em julho.
Ambas as vulnerabilidades agora são reconhecidas como sendo exploradas na natureza.
De fato, a CISA do governo dos EUA adicionou CVE-2024-43461 ao seu catálogo de vulnerabilidades exploradas conhecidas na segunda-feira, alertando que ela foi “explorada em conjunto com CVE-2024-38112”.
De acordo com a Check Point, o CVE-2024-38112 foi explorado por pelo menos um ano antes que a Microsoft corrigisse a falha.
Enquanto isso, Girnus e seu colega pesquisador da Trend Micro, Aliakbar Zahravi, descreveram o Void Banshee como alguém com motivação financeira e disseram que a gangue tinha como alvo internautas na América do Norte, Europa e Sudeste Asiático para instalar malware que roubava informações em seus PCs com Windows.
Quando questionado sobre a atualização de sexta-feira para as divulgações do Patch Tuesday de setembro, Dustin Childs, chefe de conscientização de ameaças da ZDI, disse: O Registro pelo menos indica que a ZDI relatou o bug de ocultação de extensão de arquivo, agora conhecido como CVE-2024-43461, à Microsoft no início deste ano. “Isso mostra que a Microsoft agora confirma que nós relatamos isso a eles em julho”, disse ele.
Childs também disse que o patch daquele mês, para CVE-2024-38112, não foi suficiente para eliminar completamente o caminho para a exploração, exigindo a atualização CVE-2024-43461 de setembro para fechar a lacuna na extensão de arquivo, bem como a ressurreição do Internet Explorer.
“Conversamos com eles longamente para ajudar a orientar sua compreensão sobre quais ataques estávamos vendo na natureza”, Childs nos contou. “Após muitas comunicações de ida e volta, eles conseguiram entender que o que estávamos relatando era preciso e que o patch de julho era inadequado.”
“O exploit usado na natureza combinava algumas vulnerabilidades diferentes”, ele elaborou.
“A Microsoft acreditava que o patch de julho bloqueou a cadeia de exploração, mas ainda deixou a superfície de ataque desprotegida. Analisamos o patch de julho e relatamos que os alvos ainda poderiam ser explorados devido a uma vulnerabilidade de spoofing que não foi corrigida pela Microsoft.
“Notamos que os invasores estavam usando as mesmas técnicas que descobrimos e notificamos a Microsoft. Levamos menos de duas horas de engenharia reversa para chegar a essa conclusão.”
Childs disse que está “satisfeito” que a Microsoft tenha atualizado o alerta de segurança para refletir que o CVE-2024-43461 está ou esteve sob ataque. “Isso ajuda os defensores de rede a entender a ameaça real à sua empresa e tomar as ações apropriadas”, disse ele.
A Microsoft se recusou a fazer mais comentários sobre o assunto. ®
.
