CVE-2024-43461 Ausgenutzt von Void Banshee

Eine Sicherheitslücke, die im Microsoft Patch Tuesday dieses Monats ursprünglich als nicht aktiv ausgenutzt gemeldet wurde, CVE-2024-43461, wurde jetzt als aktiv ausgenutzt entdeckt. Diese Schwachstelle wird im Rahmen einer Kampagne der Bedrohungsgruppe Void Banshee ausgenutzt, um Infostealer-Malware einzusetzen.

Diese Sicherheitslücke betrifft alle unterstützten Versionen von Microsoft Windows.

Was ist CVE-2024-43461?

CVE-2024-43461 ist eine Sicherheitslücke, die als Windows MSHTML Platform Spoofing-Schwachstelle mit einem hohen CVSS Base Score von 8.8 identifiziert wurde. Die Sicherheitsanfälligkeit ermöglicht es Angreifern, die Benutzeroberfläche zu manipulieren, was zu einer Fehldarstellung kritischer Informationen führt, insbesondere durch das Erscheinen von Dateityp-Erweiterungen. Auf diese Weise können sich bösartige Dateien wie HTA-Dateien (HTML Application) als harmlose Dateitypen (z. B. PDFs) ausgeben, um Benutzer zu täuschen.

Diese Sicherheitslücke wurde während des Microsoft Patch Tuesday im September 2024 bekannt gegeben und wurde zuvor von der APT-Gruppe Void Banshee (Advanced Persistent Threat) als Zero-Day-Schwachstelle ausgenutzt. Die Schwachstelle erfordert keine besonderen Berechtigungen und erfordert eine Benutzerinteraktion, d. h. die Benutzer müssen die schädlichen Dateien öffnen, damit die Schwachstelle wirksam wird. Der Angriffsvektor ist in erster Linie Phishing/Social Engineering, und ein erfolgreicher Angriff kann zu erheblichen Beeinträchtigungen der Integrität, Vertraulichkeit und Verfügbarkeit der betroffenen Systeme führen.

Leere Banshee-Ausbeutung

Die als Void Banshee bekannte APT-Gruppe (Advanced Persistent Threat) ist seit Juli 2024 sehr aktiv und hat es vor allem auf Nordamerika, Europa und Südostasien abgesehen, um Informationen zu stehlen und finanzielle Gewinne zu erzielen. Sie nutzt Angriffsketten, die Schwachstellen ausnutzen, wie z. B. CVE-2024-38112 und CVE-2024-43461 nutzt Void Banshee Social-Engineering-Taktiken, um Opfer dazu zu verleiten, als PDFs getarnte bösartige Dateien auszuführen. Insbesondere manipulieren sie Internet-Verknüpfungsdateien, indem sie deren Symbole so ändern, dass sie wie legitime Dokumente aussehen, während sie HTML-Anwendungen (HTA) verwenden, um Nutzdaten über deaktivierte Internet Explorer-Dienste auszuführen. Die Gruppe wurde mit der Atlantida-Kampagne in Verbindung gebracht und verbreitet die Atlantida Info-Stealer-Malware, um sensible Daten wie Passwörter und Cookies aus verschiedenen Anwendungen zu stehlen. Als Köder dienen Zip-Archive mit Kopien von Lehrbüchern oder Nachschlagewerken, die auf Plattformen wie Discord und Online-Bibliotheken geteilt werden, was darauf hindeutet, dass sie sich auf hochqualifizierte Fachleute und Studenten konzentrieren. Im Mai 2024 verfolgten Telemetriedaten eine aktualisierte Kampagne von Void Banshee, die diese Taktiken noch weiter verfeinerte und ihre anhaltende Bedrohung für Organisationen weltweit durch ausgefeilte Ausbeutungsmethoden unterstrich.

Gegenmaßnahmen und Patches

• Kunden sollten sicherstellen, dass alle Microsoft-Sicherheitsupdates installiert sind, wobei die Patches vom Juli und September 2024 diese Sicherheitslücken direkt beheben.

Referenzen

Microsoft Sicherheitsupdate: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43461