Microsoft, Windows’ta web sayfalarını işlemek için çeşitli uygulamalar tarafından kullanılan bir yazılım bileşeni olan Windows MSHTML’yi etkileyen bir sahtecilik güvenlik açığı olan CVE-2024-43461’in “Temmuz 2024’ten önce CVE-2024-38112 ile ilgili bir saldırı zincirinin parçası olarak istismar edildiğini” açıkladı.
Son güvenlik açığı şirket tarafından 2024 yılının temmuz ayında düzeltildi ve Trend Micro’nun Zero Day Initiative’indeki tehdit avcıları, bunun Void Banshee APT grubu tarafından Atlantida kötü amaçlı yazılımını dünya çapındaki hedeflere ulaştırmak için kullanıldığını açıkladı.
Saldırı zinciri eylem halinde
Check Point araştırmacıları, saldırılarda kullanılan kötü amaçlı dosya örneklerinin analizine dayanarak, CVE-2024-38112’nin muhtemelen bir yıldan uzun süredir yaygın olarak kullanıldığı sonucuna vardı.
CVE-2024-38112, bir URL dosyasının (PDF dosyası gibi görünen) Edge tarayıcısı yerine Internet Explorer ile açılmasını zorlamak için kullanıldı. URL, saldırganlar tarafından kontrol edilen bir sayfaya yönlendirdi ve bir HTA dosyasının indirilmesini tetikledi.
Özel olarak hazırlanmış HTA (HTML uygulaması) dosyası, CVE-2024-43461 numarasını kullanarak PDF dosyası gibi görünüyor ve gerçek uzantısını ve kötü amaçlı yapısını kullanıcıdan gizliyor.
HTA dosyası, ek bir betiği indirip çalıştırmak, bunun için yeni bir işlem oluşturmak, ek trojan yükleyicileri indirmek ve Atlantida bilgi hırsızını iletmek için PowerShell’i kullanan bir betik taşıyordu.
CVE-2024-43461 düzeltildi
Geçtiğimiz hafta CVE-2024-43461 için bir düzeltme yayımlandı. O zamanlar Microsoft bunu “sömürülen” olarak sınıflandırmamıştı.
Ancak şirket, Cuma günü, Temmuz ayında CVE-2024-38112 için bir düzeltme yayınlayarak “kırdıkları” bir saldırı zincirinin parçası olarak bunun istismar edildiğini doğruladı.
Microsoft, “Müşterilerin kendilerini tam olarak korumak için hem Temmuz 2024 hem de Eylül 2024 güvenlik güncellemesini yüklemeleri gerekiyor” dedi.