Windows logo with a red background

CVE-2024-43461の下で追跡されている、最近修正された「Windows MSHTMLスプーフィングの脆弱性」は、Void Banshee APTハッキング・グループによる攻撃で使用された後、現在、以前に悪用されたものとしてマークされている。

9月2024日のパッチ・チューズデーの一部として最初に公開されたとき、マイクロソフトはこの脆弱性を悪用されたことがあるとしてマークしていなかった。しかし、金曜日にマイクロソフトはCVE-2024-43461アドバイザリを更新し、修正される前に攻撃で悪用されていたことを示した。

この欠陥の発見は、トレンドマイクロ社のゼロデイ・シニア脅威リサーチャーであるピーター・ジルナス氏によるもので、同氏によると、CVE-2024-43461の欠陥は、Void Bansheeによるゼロデイ攻撃で悪用され、情報を盗むマルウェアをインストールしたという。

Void Bansheeは、トレンドマイクロが最初に追跡したAPTハッキンググループで、北米、ヨーロッパ、東南アジアの組織を標的としてデータを盗み、金銭的な利益を得ようとしています。

CVE-2024-43461 ゼロデイ

7月、チェック・ポイント・リサーチとトレンドマイクロは、Windowsのゼロデイを悪用してAtlantida情報窃取ツールにデバイスを感染させ、感染したデバイスからパスワード、認証クッキー、暗号通貨ウォレットを窃取する同じ攻撃について報告しました。

この攻撃は、攻撃チェーンの一部として、CVE-2024-38112(7月に修正済み)とCVE-2024-43461(今月修正済み)として追跡されているゼロデイを利用していました。

CVE-2024-38112のゼロデイを発見したのは、チェック・ポイントのリサーチャーであるHaifei Li氏で、同氏によると、このゼロデイは、特別に細工されたショートカット・ファイルを起動する際に、WindowsにMicrosoft EdgeではなくInternet Explorerで悪意のあるウェブサイトを開かせるために使用されていたとのことです。

「具体的には、攻撃者は特別なWindows Internet Shortcutファイル(拡張子名:.url)を使用しており、このファイルをクリックすると、引退したInternet Explorer(IE)が呼び出され、攻撃者が管理するURLにアクセスするようになっていました」と、Li氏は7月に発表したCheck Point Researchのレポートで説明しています。

これらのURLは、悪意のあるHTAファイルのダウンロードに使用され、ユーザーにファイルを開くよう促します。ファイルを開くと、スクリプトが実行され、Atlantida 情報窃取ツールがインストールされます。

HTAファイルは、CVE-2024-43461として追跡されている別のゼロデイを利用し、以下のように、HTAファイルの拡張子を隠し、Windowsがユーザーに開くべきかどうかを確認する際に、ファイルをPDFとして表示するようになっていました。

ZDIの研究者であるPeter Girnus氏によると、CVE-2024-43461の欠陥は、Void Banshee攻撃でも使用され、.hta拡張子を隠すためにエンコードされた26個の点字空白文字(%E2%A0%80)を含むHTAファイル名によってCWE-451の状態を作り出していたとのことです。

以下に示すように、ファイル名はPDFファイルとして始まりますが、エンコードされた26個の点字空白文字(%E2%A0%80)を繰り返し含み、最後に「.hta」拡張子が続きます。

Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta

Windowsがこのファイルを開くと、点字の空白文字がHTA拡張子をユーザーインターフェイスの外側に押し出し、Windowsのプロンプトでは以下のように「…」文字列で区切られるだけです。これにより、HTAファイルはPDFファイルとして表示され、開かれる可能性が高くなりました。

HTA拡張子を表示しないようにする空白文字
ソースはこちら:トレンドマイクロ

CVE-2024-43461のセキュリティ更新プログラムをインストールした後、Girnus氏によると、空白文字は除去されないが、Windowsはプロンプトでファイルの実際の拡張子.htaを表示するようになったという。

Security update now shows HTA extension
セキュリティ更新プログラムではHTA拡張子が表示されるようになった
出典:Peter Girnus氏:ピーター・ジルナス

残念ながら、この修正は完全ではない。空白文字が含まれているため、HTAファイルではなくPDFファイルであると人々を混乱させる可能性が高いからだ。

マイクロソフト社は、9月のパッチ・チューズデーで、LNKを踏みつける攻撃で悪用され、Mark of the Webセキュリティ機能をバイパスしていたCVE-2024-38217を含む、活発に悪用されている他の3つのゼロデイを修正した。