Falla en «espacios» braille permite ataques de día cero en Windows

Actualizado el 16 septiembre, 2024 19:09:05

Una vulnerabilidad de suplantación en MSHTML de Windows, identificada como CVE-2024-43461, ha sido recientemente marcada como explotada previamente tras su uso en ataques por el grupo de hackers APT Void Banshee.

Inicialmente, cuando se incluyó en el martes de parches de septiembre de 2024, Microsoft no había señalado que la vulnerabilidad ya había sido explotada.

Sin embargo, el pasado viernes, la compañía actualizó el aviso de seguridad de CVE-2024-43461 para confirmar que fue utilizada en ataques antes de su corrección.

El descubrimiento de esta falla fue acreditado a Peter Girnus, investigador sénior de amenazas en Zero Day de Trend Micro.

Girnus explicó que la vulnerabilidad fue explotada en ataques de día cero por Void Banshee para instalar malware diseñado para robar información.

Void Banshee, rastreado por primera vez por Trend Micro, es un grupo APT que se enfoca en organizaciones en América del Norte, Europa y el sudeste asiático, con el fin de robar datos y obtener beneficios económicos.

El ataque de día zero CVE-2024-43461

En julio, Check Point Research y Trend Micro informaron sobre una serie de ataques que aprovechaban vulnerabilidades de día cero en Windows para infectar dispositivos con el ladrón de información Atlantida.

Este malware se utilizaba para robar contraseñas, cookies de autenticación y billeteras de criptomonedas de los sistemas comprometidos.

Los ataques se basaron en dos vulnerabilidades de día cero: CVE-2024-38112 (corregida en julio) y CVE-2024-43461 (corregida recientemente).

El descubrimiento de la vulnerabilidad CVE-2024-38112 fue atribuido al investigador Haifei Li de Check Point, quien explicó que los atacantes usaron archivos de acceso directo de Windows (.url) diseñados especialmente para forzar la apertura de sitios web maliciosos en Internet Explorer en lugar de Microsoft Edge.

Los atacantes emplearon archivos .url, que al ser clicados, activaban el retirado Internet Explorer (IE) para visitar la URL controlada por el atacante

Estas URL descargaban un archivo HTA malicioso que, al abrirse, ejecutaba un script para instalar el ladrón de información Atlantida.

Los archivos HTA utilizaban la vulnerabilidad CVE-2024-43461 para ocultar su verdadera extensión, apareciendo como archivos PDF cuando Windows solicitaba al usuario si debía abrirlos. Esto engañaba a los usuarios para ejecutar el archivo malicioso.

Peter Girnus, investigador de ZDI, explicó que CVE-2024-43461 fue utilizada por el grupo Void Banshee para crear una condición CWE-451.

Los atacantes usaban nombres de archivo HTA que incluían 26 caracteres de espacio en blanco braille codificados (%E2%A0%80), ocultando la extensión real «.hta» y haciendo que el archivo pareciera un PDF normal.

Como se muestra en el ejemplo, el nombre del archivo comenzaba con la apariencia de ser un PDF, seguido de caracteres braille invisibles que ocultaban la verdadera extensión .hta.

				
					Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta
				
			

Cuando Windows abre este archivo, los caracteres de espacio en blanco en braille desplazan la extensión HTA fuera de la vista en la interfaz de usuario, dejando solo una cadena de ‘…’ visible en los mensajes del sistema. Esto hacía que los archivos HTA parecieran archivos PDF, aumentando así la probabilidad de que los usuarios los abrieran.

Después de instalar la actualización de seguridad para CVE-2024-43461, Girnus explica que, aunque los espacios en blanco no se eliminan, Windows ahora muestra correctamente la extensión real .hta del archivo en los mensajes.

Lamentablemente, esta solución no es del todo efectiva, ya que los espacios en blanco aún pueden confundir a los usuarios, haciéndoles creer que el archivo es un PDF en lugar de un archivo HTA.

En el parche de seguridad de septiembre, Microsoft también abordó tres ataques de día cero adicionales que habían sido explotados activamente, incluido el CVE-2024-38217, utilizado en ataques con archivos LNK para evadir la función de seguridad Mark of the Web.

Sobre el mismo argumento...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Más leídos (últimos 30 días)

Archivo

Argumentos