【安全资讯】Windows漏洞利用盲文空格进行零日攻击

概要：

近日，微软修复了一个被称为“Windows MSHTML欺骗漏洞”的安全漏洞（CVE-2024-43461），该漏洞已被Void Banshee APT黑客组织利用进行零日攻击。此漏洞最初在2024年9月的补丁星期二中披露，但未标记为已被利用。随后，微软更新了该漏洞的公告，确认其在修复前已被利用。

主要内容：

CVE-2024-43461漏洞的发现归功于Trend Micro的高级威胁研究员Peter Girnus，他表示Void Banshee利用此漏洞安装信息窃取恶意软件。Void Banshee是一个APT黑客组织，主要针对北美、欧洲和东南亚的组织进行数据窃取和财务获利。

在2024年7月，Check Point Research和Trend Micro报告了利用Windows零日漏洞感染设备的攻击，这些攻击使用了CVE-2024-38112和CVE-2024-43461两个零日漏洞。CVE-2024-38112漏洞被用于强制Windows通过Internet Explorer打开恶意网站，而非Microsoft Edge。攻击者使用特殊的Windows Internet快捷方式文件（.url扩展名），点击后会调用已退役的Internet Explorer访问攻击者控制的URL，下载并运行恶意HTA文件，安装Atlantida信息窃取程序。

CVE-2024-43461漏洞则被用于隐藏HTA文件扩展名，使其在Windows提示用户是否打开时看起来像PDF文件。攻击者通过在HTA文件名中加入26个编码的盲文空格字符（%E2%A0%80），将HTA扩展名推到用户界面之外，仅显示为“...”字符串。这使得HTA文件看起来像PDF文件，更容易被用户打开。

安装CVE-2024-43461的安全更新后，Windows现在会在提示中显示实际的.hta扩展名，尽管包含的空格字符仍可能让人误以为文件是PDF。微软在2024年9月的补丁星期二中还修复了另外三个被积极利用的零日漏洞，包括CVE-2024-38217，该漏洞被用于LNK篡改攻击以绕过Web安全标记功能。