Μια νέα δυσάρεστη έκπληξη από τη Microsoft προκάλεσε αναστάτωση, μετά το Patch Tuesday της περασμένης εβδομάδας.
Όπως συνέβη και τον Ιούλιο, χάκερ εκμεταλλεύονται παλιό κώδικα του Internet Explorer που υπάρχει σε εκατοντάδες εκατομμύρια υπολογιστές για να κάνουν επιθέσεις. Αν και αυτός ο κώδικας μπορεί να είναι κρυμμένος, έχει αποκαλύψει μια τεράστια τρύπα ασφαλείας.
Προειδοποίηση από τη CISA για ευπάθειες
Η υπηρεσία κυβερνοασφάλειας της κυβέρνησης των ΗΠΑ δεν έχασε χρόνο και πρόσθεσε το CVE-2024-43461 στον κατάλογο των Γνωστών Εκμεταλλευμένων Ευπαθειών (KEV), προειδοποιώντας ότι «η MSHTML πλατφόρμα των Microsoft Windows περιέχει μια ευπάθεια παραπλάνησης της διεπαφής χρήστη (UI) που επιτρέπει σε έναν επιτιθέμενο να πλαστογραφήσει μια ιστοσελίδα»,
Η CISA προσθέτει ότι το CVE-2024-43461 αποτελεί πεδίο εκμετάλλευσης από τους χάκερ «σε συνδυασμό με το CVE-2024-38112», το οποίο αφορούσε στην απειλή που αναφέρθηκε τον Ιούλιο.
Πώς οι χάκερ εκμεταλλεύονται τους υπολογιστές
Τον Ιούλιο, η Check Point προειδοποίησε ότι οι επιτιθέμενοι χρησιμοποιούν «ειδικά Windows Internet Shortcut αρχεία» για να ανοίξουν URLs με τον Internet Explorer αντί για τον Chrome ή τον Edge.
Αυτό σημαίνει ότι «ο επιτιθέμενος αποκτά σημαντικά πλεονεκτήματα στην εκμετάλλευση του υπολογιστή του θύματος, [παρά] το γεγονός ότι ο υπολογιστής λειτουργεί με το σύγχρονο λειτουργικό σύστημα Windows 10/11».
Προθεσμία της CISA για ενημέρωση των υπολογιστών με Windows
Η CISA έχει δώσει προθεσμία για ενημέρωση των Windows PCs μέχρι τις 7 Οκτωβρίου. Όπως πάντα, η επίσημη εντολή ισχύει για τους ομοσπονδιακούς υπαλλήλους, αλλά πολλές άλλες δημόσιες και ιδιωτικές οργανώσεις ακολουθούν τις οδηγίες της CISA.
Όλοι οι υπολογιστές που έχουν ενημερωθεί από τον Ιούλιο και μετά θα έχουν διορθώσει το ένα από τα δύο τρωτά σημεία, ενώ η πιο πρόσφατη ενημέρωση διορθώνει το δεύτερο.
Η προειδοποίηση της Trend Micro
Η Trend Micro’s ZDI, που αποκάλυψε τη δεύτερη απειλή, προειδοποιεί ότι «επιτρέπει σε απομακρυσμένους επιτιθέμενους να εκτελέσουν αυθαίρετο κώδικα σε επηρεαζόμενες εγκαταστάσεις των Microsoft Windows», κάτι που ενεργοποιεί μια επίθεση μέσω μιας κακόβουλης ιστοσελίδας που αν ένας χρήστης επισκεφθεί μπορεί να εξαπατηθεί.
Η Microsoft εξηγεί ότι «η MSHTML πλατφόρμα χρησιμοποιείται από τον Internet Explorer mode στον Microsoft Edge καθώς και από άλλες εφαρμογές μέσω WebBrowser control… Για πλήρη προστασία, συνιστούμε στους πελάτες που εγκαθιστούν Security Only ενημερώσεις, να εγκαταστήσουν τις IE Cumulative ενημερώσεις για αυτή την ευπάθεια».
Απειλή από το Advanced Persistent Threat Group
Η Trend Micro προειδοποιεί ότι «η ικανότητα των APT ομάδων, όπως η Void Banshee, να εκμεταλλευτούν απενεργοποιημένες υπηρεσίες όπως ο IE, αποτελεί μια σημαντική απειλή για τις οργανώσεις παγκοσμίως».
Οι επιτιθέμενοι χρησιμοποιούν zip αρχεία που περιέχουν κακόβουλα αρχεία μεταμφιεσμένα ως PDF βιβλία για να εξαπατήσουν τα θύματα.
Η CISA μας συμβουλεύει να ακολουθήσουμε τις οδηγίες των κατασκευαστών για να προστατευτούμε ή, αν δεν υπάρχει λύση, να σταματήσουμε να χρησιμοποιούμε τα Windows. Με άλλα λόγια, πρέπει να ενημερώσουμε τους υπολογιστές μας ή να τους απενεργοποιήσουμε.
Όπως αναφέρει η Check Point, η εκμετάλλευση της MSHTML είναι «ιδιαίτερα ανησυχητική… χρησιμοποιώντας τον Internet Explorer, τον οποίο πολλοί χρήστες μπορεί να μην γνωρίζουν ότι υπάρχει στον υπολογιστή τους… όλοι οι χρήστες [πρέπει] να εφαρμόσουν άμεσα το Microsoft patch για να προστατευτούν».