**Microsoft Переоценивает Уязвимость как Zero-Day: Эксплуатация уязвимостей продолжается**
В недавнем обновлении Microsoft пересмотрела ранее устраненную ошибку в своем сентябрьском Patch Tuesday и классифицировала её как уязвимость нулевого дня. Этот дефект, обозначенный как CVE-2024-43461, эксплуатируется группой продвинутых постоянных угроз (APT), известной как «Void Banshee», с июля этого года. Уязвимость относится к категории удаленно эксплуатируемых проблем подмены платформы в устаревшем движке браузера MSHTML (Trident), который Microsoft сохраняет в Windows для обеспечения обратной совместимости.
**Затрагивает Все Поддерживаемые Версии Windows**
Эта уязвимость затрагивает все поддерживаемые версии Windows, позволяя удаленным злоумышленникам выполнять произвольный код на пораженных системах. Однако для успешной эксплуатации злоумышленник должен убедить потенциальную жертву посетить вредоносную веб-страницу или кликнуть на небезопасную ссылку.
Изначально Microsoft оценила серьезность этой уязвимости на 8.8 по 10-балльной шкале CVSS при её раскрытии 10 сентября. На тот момент не было указаний на то, что это уязвимость нулевого дня. 13 сентября Microsoft пересмотрела свою оценку, раскрыв, что злоумышленники активно эксплуатировали этот дефект в рамках цепочки атак, связанной с CVE-2024-38112, другой уязвимостью подмены платформы MSHTML, исправленной в июле 2024 года. Microsoft заявила: «Мы выпустили исправление для CVE-2024-38112 в наших июльских обновлениях безопасности, что прервало эту цепочку атак».
Для обеспечения полной защиты от эксплойтов, нацеленных на CVE-2024-43461, Microsoft настоятельно рекомендует клиентам применить патчи как из июльского, так и из сентябрьского обновлений 2024 года. После обновления Microsoft 13 сентября Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавило этот дефект в свою базу известных эксплуатируемых уязвимостей 16 сентября, установив крайний срок внедрения мер до 7 октября для федеральных агентств.
**Сходства с CVE-2024-38112**
CVE-2024-43461 имеет сходства с CVE-2024-38112, позволяя злоумышленникам манипулировать пользовательскими интерфейсами — в частности, браузером — для отображения вводящих в заблуждение данных. Check Point Research, признанная Microsoft за обнаружение CVE-2024-38112, описала уязвимость как позволяющую злоумышленникам отправлять специально созданные URL или интернет-ссылки, которые при клике запускают Internet Explorer для открытия вредоносного URL, даже если браузер отключен.
**Атака с Двумя Уязвимостями**
Согласно обновленному совету Microsoft, злоумышленники используют CVE-2024-43461 как часть координированной цепочки атак, включающей также CVE-2024-38112. Исследователи из Qualys ранее указали, что эксплойты, нацеленные на CVE-2024-38112, будут столь же эффективны против CVE-2024-43416 из-за их почти идентичной природы. Peter Girnus, старший исследователь угроз в ZDI, объяснил, что злоумышленники использовали CVE-2024-38112 для перехода на HTML целевую страницу через Internet Explorer с использованием протокола MHTML внутри .URL файла.
Эксплуатация уязвимостей и вредоносное ПО продолжают оставаться значительными угрозами для кибербезопасности, и пользователи должны быть бдительными и своевременно устанавливать обновления безопасности.