Recently patched Windows flaw CVE-2024-43461 was actively exploited as a zero-day before July 2024
Recently patched Windows flaw CVE-2024-43461 was actively exploited as a zero-day before July 2024
Microsoft warns that recently patched Windows flaw (CVE-2024-43461) was actively exploited as a zero-day before July 2024.
securityaffairs.com
- 개요
- CVE-2024-43461 취약점은 Windows MSHTML 플랫폼의 스푸핑 문제로, 2024년 7월 이전부터 제로데이로 악용된 사례가 보고됨
- MSHTML은 Internet Explorer가 은퇴했음에도 여전히 Windows의 일부 애플리케이션에서 사용됨
- ZDI 위협 헌팅 팀은 2024년 7월에 패치된 CVE-2024-38112와 유사한 새로운 악용 사례를 발견
- 취약점 설명
- CVE-2024-43461은 원격 공격자가 악성 페이지를 방문하거나 악성 파일을 실행하도록 유도하여 임의의 코드 실행을 가능하게 함
- 특히, 파일 확장자를 숨겨 사용자에게 무해한 파일로 오인하게 하는 방법으로 악용됨
- 인터넷 익스플로러(Internet Explorer) 의 파일 다운로드 시 사용자 프롬프트 방식의 취약점을 공격에 활용
- 공격 경로
- 악성 파일을 실행하도록 유도하거나 클라우드 공유 사이트 및 Discord 서버, 온라인 도서관 등을 통해 악성 ZIP 아카이브를 배포
- Void Banshee라는 APT 그룹이 CVE-2024-38112를 악용해 피해자에게 정보 탈취형 멀웨어(Atlantida) 를 배포한 사례도 발견됨
- 이 멀웨어는 시스템 정보를 수집하고, 비밀번호나 쿠키와 같은 민감한 데이터를 탈취함
- 패치 및 보안 권고
- 2024년 9월에 배포된 Patch Tuesday 보안 업데이트에서 CVE-2024-43461 취약점을 해결
- Microsoft는 사용자에게 2024년 7월 및 9월 보안 업데이트를 모두 설치해 완전한 보호를 받을 것을 권장
- Internet Explorer가 더 이상 보안 업데이트를 받지 않음에도, 이를 통한 HTA 파일 실행 공격이 계속해서 발견되고 있어, 해당 공격 기법이 여전히 우려스러운 문제로 남아 있음
- APT 그룹 Void Banshee 활동
- Void Banshee는 북미, 유럽, 동남아시아를 중심으로 활동하며, CVE-2024-38112를 통해 정보 탈취 및 악성 파일 배포를 실행
- 책 PDF로 위장한 악성 파일을 포함한 ZIP 파일을 통해 피해자를 유인하며, 멀웨어를 설치하고 민감한 정보를 탈취하는 방식으로 공격을 수행
- 시사점
- MSHTML 기반의 취약점은 더 이상 보안 업데이트를 받지 않기 때문에 제로데이 공격에 매우 취약함
- 기업 및 개인은 최신 보안 패치를 적용하여 해당 취약점을 방어해야 하며, 인터넷 익스플로러와 같은 구식 소프트웨어를 사용하지 않는 것이 권장됨
'Kant's IT > Vulnerability' 카테고리의 다른 글
| 대규모 정보 처리에 사용되는 오픈소스에서 취약점 경고 (0) | 2024.09.24 |
|---|---|
| Ivanti Cloud Services Appliance (CSA) 취약점 경고 및 보안 권고 (0) | 2024.09.22 |
| VMware vCenter Server 취약점 CVE-2024-38812 및 CVE-2024-38813 패치 발표 (0) | 2024.09.22 |
| GitLab, CE 및 EE 버전의 SAML 인증 우회 취약점 패치 발표 (0) | 2024.09.22 |
| Atlassian 취약점 패치(Bamboo, Bitbucket, Confluence, Crowd) (0) | 2024.09.22 |