Setidaknya 11 kelompok peretasan yang didukung negara dari Korea Utara, Iran, Rusia, dan Cina telah mengeksploitasi kerentanan Windows baru dalam pencurian data dan spionase cyber Zero-Day Attacks sejak 2017.
Namun, sebagai peneliti keamanan Peter Girnus dan Aliakbar Zahravi dengan Trend Micro’s Zero Day Initiative (ZDI) melaporkan hari ini, Microsoft menandai “tidak memenuhi pelayanan bar” pada akhir September dan mengatakan tidak akan merilis pembaruan keamanan untuk mengatasinya.
“Kami menemukan hampir seribu tautan shell (.lnk) sampel yang mengeksploitasi ZDI-CAN-25373; namun, besar kemungkinan jumlah total upaya eksploitasi jauh lebih tinggi,” kata mereka. “Selanjutnya, kami mengirimkan eksploitasi pembuktian konsep melalui program hadiah bug tren ZDI kepada Microsoft, yang menolak untuk mengatasi kerentanan ini dengan tambalan keamanan.”
Seorang juru bicara Microsoft tidak segera tersedia untuk dikomentari ketika dihubungi oleh BleepingComputer sebelumnya hari ini.
Sementara Microsoft belum menetapkan CVE-ID untuk kerentanan ini, Trend Micro melacaknya secara internal Tampil-can-25373 dan mengatakan itu memungkinkan penyerang untuk menjalankan kode sewenang -wenang pada sistem Windows yang terpengaruh.
Seperti yang ditemukan oleh para peneliti saat menyelidiki eksploitasi ZDI-CAN-25373 di bawah, cacat keamanan telah dieksploitasi dalam serangan luas Banyak kelompok ancaman yang disponsori negara dan geng kejahatan dunia mayatermasuk Evil Corp, Apt43 (Kimsuky), Bitter, APT37, Mustang Panda, Sidewinder, Redhotel, Konni, dan lainnya.
Meskipun kampanye telah menargetkan para korban di seluruh dunia, mereka terutama difokuskan pada Amerika Utara, Amerika Selatan, Eropa, Asia Timur, dan Australia. Dari semua serangan yang dianalisis, hampir 70% terkait dengan spionase dan pencurian informasi, sementara keuntungan finansial adalah fokus hanya 20%.
“Berbagai muatan malware dan loader seperti Ursnif, GH0st Rat, dan Trickbot telah dilacak dalam kampanye ini, dengan platform malware-as-a-service (MAAS) yang menyulitkan lanskap ancaman,” Tren mikro ditambahkan.
ZDI-CAN-25373 Windows Zero-Day
Kerentanan Windows yang baru ditemukan ini (dilacak sebagai ZDI-CAN-25373) disebabkan oleh kesalahan penyajian informasi kritis antarmuka pengguna (UI) (CWE-451) Kelemahan, yang memungkinkan penyerang untuk mengeksploitasi bagaimana Windows menampilkan file pintasan (.lnk) untuk menghindari deteksi dan menjalankan kode pada perangkat yang rentan tanpa sepengetahuan pengguna.
Aktor ancaman mengeksploitasi ZDI-CAN-25373 dengan menyembunyikan argumen baris perintah yang berbahaya di dalam file pintasan .lnk menggunakan whitespace empuk yang ditambahkan ke struktur command_line_arguments.
Para peneliti mengatakan ruang putih ini dapat dalam bentuk kode hex untuk ruang ( x20), tab horizontal ( x09), lineefeed ( x0a), tab vertikal ( x0b), bentuk umpan ( x0c), dan carriage return ( x0d) yang dapat digunakan sebagai padding.
Jika pengguna Windows memeriksa file .lnk seperti itu, argumen berbahaya tidak ditampilkan di antarmuka pengguna Windows karena ruang putih yang ditambahkan. Akibatnya, argumen baris perintah yang ditambahkan oleh penyerang tetap tersembunyi dari tampilan pengguna.
“Interaksi pengguna diperlukan untuk mengeksploitasi kerentanan ini karena target harus mengunjungi halaman jahat atau membuka file jahat,” a Tren Penasihat Mikro Diterbitkan hari ini menjelaskan.
“Data dibuat dalam file .lnk dapat menyebabkan konten berbahaya dalam file tidak terlihat oleh pengguna yang memeriksa file melalui antarmuka pengguna yang disediakan Windows. Seorang penyerang dapat memanfaatkan kerentanan ini untuk menjalankan kode dalam konteks pengguna saat ini.”
Kerentanan ini adalah Mirip dengan cacat lain dilacak sebagai CVE-2024-43461 yang memungkinkan aktor ancaman untuk menggunakan 26 karakter whitespace Braille yang dikodekan (%E2%A0%80) untuk menyamarkan file HTA yang dapat mengunduh muatan berbahaya sebagai PDF. CVE-2024-43461 ditemukan oleh Peter Girnus, seorang peneliti ancaman senior di Trend Micro’s Nol Day, dan ditambal oleh Microsoft selama itu September 2024 Patch Selasa.
Itu Membatalkan banshee APT Hacking Group mengeksploitasi CVE-2024-43461 dalam serangan nol-hari untuk menggunakan malware mencuri informasi dalam kampanye melawan organisasi di seluruh Amerika Utara, Eropa, dan Asia Tenggara.
Pembaruan 18 Maret, 13:46 EDT: Seorang juru bicara Microsoft mengirim pernyataan berikut setelah waktu penerbitan, mengatakan perusahaan sedang mempertimbangkan untuk mengatasi cacat di masa depan:
Kami menghargai pekerjaan ZDI dalam mengirimkan laporan ini di bawah pengungkapan kerentanan yang terkoordinasi. Microsoft Defender memiliki deteksi untuk mendeteksi dan memblokir aktivitas ancaman ini, dan Smart App Control memberikan lapisan perlindungan tambahan dengan memblokir file berbahaya dari Internet. Sebagai praktik terbaik keamanan, kami mendorong pelanggan untuk berhati -hati saat mengunduh file dari sumber yang tidak diketahui sebagaimana ditunjukkan dalam peringatan keamanan, yang telah dirancang untuk mengenali dan memperingatkan pengguna tentang file yang berpotensi berbahaya. Sementara pengalaman UI yang dijelaskan dalam laporan tidak memenuhi bar untuk melayani segera di bawah kami Pedoman Klasifikasi Keparahankami akan mempertimbangkan untuk mengatasinya dalam rilis fitur mendatang.
