Une vulnérabilité récemment corrigée, connue sous le nom de « vulnérabilité de spoofing MSHTML de Windows », identifiée par le code CVE-2024-43461, a été signalée comme ayant été exploitée auparavant, suite à des attaques menées par le groupe de hackers APT Void Banshee.
Initialement révélée lors du Patch Tuesday de septembre 2024, Microsoft n’avait pas indiqué que cette vulnérabilité avait été exploitée avant sa correction. Cependant, vendredi dernier, la société a mis à jour l’avis concernant le CVE-2024-43461 pour confirmer qu’elle avait été utilisée dans des attaques avant d’être résolue.
La découverte de cette faille a été attribuée à Peter Girnus, chercheur senior en cybersécurité chez Trend Micro, qui a déclaré à BleepingComputer que la vulnérabilité CVE-2024-43461 avait été exploitée dans des attaques de type zero-day par Void Banshee pour installer des logiciels malveillants visant à voler des informations.
Void Banshee est un groupe de hackers APT, suivi pour la première fois par Trend Micro, qui cible des organisations en Amérique du Nord, en Europe et en Asie du Sud-Est dans le but de dérober des données et de réaliser des gains financiers.
Analyse de la vulnérabilité CVE-2024-43461
En juillet, Check Point Research et Trend Micro ont tous deux rapporté des attaques exploitant des vulnérabilités zero-day de Windows pour infecter des appareils avec le logiciel malveillant Atlantida, utilisé pour dérober des mots de passe, des cookies d’authentification et des portefeuilles de cryptomonnaies.
Les attaques ont utilisé des vulnérabilités identifiées comme CVE-2024-38112 (corrigée en juillet) et CVE-2024-43461 (corrigée ce mois-ci) dans le cadre de leur chaîne d’attaque.
La découverte de la vulnérabilité CVE-2024-38112 a été attribuée au chercheur Haifei Li de Check Point, qui a expliqué qu’elle était utilisée pour forcer Windows à ouvrir des sites malveillants dans Internet Explorer au lieu de Microsoft Edge lors de l’ouverture de fichiers de raccourci spécialement conçus.
« Les attaquants ont spécifiquement utilisé des fichiers de raccourci Internet Windows (.url) qui, lorsqu’ils étaient cliqués, ouvraient Internet Explorer pour visiter une URL contrôlée par l’attaquant, » a précisé Li dans un rapport de Check Point Research en juillet.
Ces URL étaient utilisées pour télécharger un fichier HTA malveillant et inciter l’utilisateur à l’ouvrir. Une fois ouvert, un script s’exécutait pour installer le logiciel malveillant Atlantida.
Les fichiers HTA exploitaient une autre vulnérabilité zero-day, identifiée comme CVE-2024-43461, pour masquer l’extension HTA et faire apparaître le fichier comme un PDF lors de l’invite de Windows demandant si le fichier devait être ouvert.
Le chercheur ZDI Peter Girnus a expliqué à BleepingComputer que la vulnérabilité CVE-2024-43461 avait également été utilisée dans les attaques de Void Banshee pour créer une condition CWE-451 à travers des noms de fichiers HTA contenant 26 caractères d’espace en braille encodés (%E2%A0%80) afin de dissimuler l’extension .hta.
Comme illustré ci-dessous, le nom du fichier commence par un fichier PDF mais inclut vingt-six caractères d’espace en braille encodés (%E2%A0%80) suivis d’une extension ‘.hta’ finale.
Livres_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta
Lorsque Windows ouvre ce fichier, les caractères d’espace en braille déplacent l’extension HTA hors de l’interface utilisateur, n’étant délimitée que par une chaîne ‘…‘ dans les invites de Windows, comme illustré ci-dessous. Cela a conduit à ce que les fichiers HTA apparaissent comme des fichiers PDF, augmentant ainsi la probabilité qu’ils soient ouverts.
Source : Trend Micro
Après l’installation de la mise à jour de sécurité pour le CVE-2024-43461, Girnus a indiqué que l’espace n’était pas supprimé, mais que Windows affichait désormais l’extension .hta réelle pour le fichier dans les invites.
Source : Peter Girnus
Malheureusement, cette correction n’est pas parfaite, car l’espace inclus risque encore de tromper les utilisateurs en leur faisant croire que le fichier est un PDF plutôt qu’un fichier HTA.
Microsoft a également corrigé trois autres vulnérabilités zero-day activement exploitées lors du Patch Tuesday de septembre, y compris le CVE-2024-38217, qui a été utilisé dans des attaques de LNK stomping pour contourner la fonctionnalité de sécurité Mark of the Web.
