Secondo il CISA, infostealer utilizzano una falla di Windows, già risolta con una patch, negli attacchi malware per rubare informazioni.
Ha ordinato alle agenzie federali statunitensi di proteggere i propri sistemi da un bug zero-day di Windows MSHTML spoofing, che ha recentemente ricevuto una patch. Ma il gruppo di hacker Void Banshee, un APT (Advanced Persistent Threat) noto per aver preso di mira organizzazioni in Nord America, Europa e Sud-Est asiatico a scopo di lucro e per trafugare dati, ha già sfruttato la vulnerabilità.
“Void Banshee evidenzia una grave vulnerabilità che colpisce tutte le versioni supportate di Windows”, commenta Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360, “sottolineando l’importanza di un’adeguata gestione delle patch e della sicurezza delle applicazioni. L’attacco sfrutta una catena di due bug, aumentando la complessità e l’impatto potenziale degli exploit“.
Ecco come proteggersi.
Indice degli argomenti
Infostealer sfrutta una falla di Windows: la patch è urgente
La vulnerabilità (CVE-2024-43461) è stata resa nota durante il Patch Tuesday di questo mese. Tuttavia Microsoft l’aveva inizialmente classificata come priva di exploit negli attacchi. Invece, venerdì Microsoft è corsa ai ripari aggiornando l’advisory per confermare che la vulnerabilità è stata sfruttata in attacchi prima di essere sanata.
Microsoft ha rivelato che gli aggressori hanno sfruttato CVE-2024-43461 prima dello scorso luglio 2024 parte di una catena di exploit con CVE-2024-38112, un altro bug di spoofing MSHTML.
“Negli aggiornamenti di sicurezza di luglio 2024 abbiamo rilasciato una correzione per CVE-2024-38112 che ha interrotto questa catena di attacchi”, ha dichiarato. “I clienti dovrebbero utilizzare sia l’aggiornamento di sicurezza di luglio 2024 che quello di settembre 2024 per proteggersi completamente”.
Peter Girnus, il ricercatore di minacce della Trend Micro Zero Day Initiative (ZDI) che ha segnalato la falla di sicurezza, ha affermato a BleepingComputer che gli hacker di Void Banshee l’hanno sfruttata in attacchi zero-day per installare malware che rubano informazioni.
“Penso che sia cruciale notare che la rapidità con cui vengono identificati e sfruttati questi zero-day da parte di attori malevoli richiede una vigilanza costante“, conferma Fadda.
Il vettore d’attacco nei dettagli: l’uso del braille
La falla consente agli aggressori di eseguire codice arbitrario da remoto su sistemi Windows privi di patch, inducendo i bersagli a visitare una pagina web creata male o ad aprire un file dannoso.
“La falla specifica riguarda il modo in cui Internet Explorer richiede all’utente di scaricare un file”, spiega l’advisory ZDI. “Un nome di file modificato può nascondere la vera estensione del file, inducendo l’utente a credere che il tipo di file sia innocuo. Un utente malintenzionato può sfruttare questa vulnerabilità per eseguire codice nel contesto dell’utente corrente”.
Hanno utilizzato gli exploit CVE-2024-43461 per fornire file HTA malevoli camuffati da documenti PDF. Per nascondere l’estensione .hta, hanno utilizzato 26 caratteri di spazio bianco braille codificati (%E2%A0%80).
Quando Windows apre questo file, i caratteri braille degli spazi bianchi spingono l’estensione HTA al di fuori dell’interfaccia utente, delineata solo da una stringa ‘…’ nei prompt di Windows, come si vede qui sotto. Questo fa sì che i file HTA appaiano come file PDF, rendendo più probabile la loro apertura.
Secondo Check Point Research e Trend Micro, il malware Atlantida, impiegato in questi attacchi per il furto di informazioni, può aiutare a rubare password, cookie di autenticazione e portafogli di criptovalute dai dispositivi infetti.
Come proteggersi dagli infostealer
Oggi la CISA ha aggiunto la vulnerabilità MSHTML spoofing al suo catalogo di vulnerabilità sfruttate. L’ha etichettata come attivamente sfruttata e ordinato alle agenzie federali di mettere in sicurezza i sistemi vulnerabili entro tre settimane dal 7 ottobre, come previsto dalla Binding Operational Directive (BOD) 22-01.
“Questo tipo di vulnerabilità è un vettore di attacco frequente per gli attori informatici malintenzionati e rappresenta un rischio significativo per l’azienda federale”, ha dichiarato l’agenzia per la sicurezza informatica.
Sebbene il catalogo KEV della CISA si concentri principalmente sull’allerta delle agenzie federali in merito alle falle di sicurezza che dovrebbero ricevere le patch il prima possibile, anche le organizzazioni private di tutto il mondo devono dare priorità alla mitigazione di questa vulnerabilità per bloccare gli attacchi in corso.
Microsoft ha patchato altri tre zero-day attivamente sfruttati nel Patch Tuesday di settembre. Si tratta di CVE-2024-38217, una vulnerabilità sfruttata negli attacchi LNK stomping almeno dal 2018 per aggirare lo Smart App Control e la funzione di sicurezza Mark of the Web (MotW).
“La trasparenza nella comunicazione delle minacce e delle patch disponibili può ridurre significativamente il tempo di esposizione a potenziali attacchi“, conclude Fadda: “È infatti fondamentale che le aziende non solo aggiornino regolarmente i loro sistemi, ma che adottino anche politiche di aggiornamento post test prima di diffondere tali aggiornamenti che comunque devono rimanere quanto più possibili tempestivi”.
