Обнаружена новая уязвимость нулевого дня: CVE-2024-43451

Исследователи из ClearSky Cyber Security обнаружили уязвимость нулевого дня в системах Windows, которая активирует URL-файлы, что приводит к несанкционированному взаимодействию с сервером и потенциальной установке вредоносного ПО. Эта уязвимость, CVE-2024-43451, позволяет URL-файлам выполнять команды через определенные действия, такие как щелчок правой кнопкой мыши, удаление или перетаскивание файла по папкам.

Оглавление

CVE-2024-43451

Уязвимость эксплуатировалась в фишинговых кампаниях, направленных на украинские организации, начиная с вредоносных гиперссылок в электронных письмах. По этим ссылкам передавались файлы ярлыков, размещенные на скомпрометированном сервере, принадлежащем управлению образования и науки Каменец-Подольского городского совета.

Проанализировав файлы, ClearSky обнаружила соединения с IP-адресом 92[.]42.96.30, связанным с российским VPS-провайдером Saltu[.]Cloud, что вызвало опасения в причастности российского UAC-0194.

Начальная стадия атаки включает в себя ZIP-файл, содержащий файлы, связанные с известными уязвимостями, включая CVE-2023-320462 и CVE-2023-360251, которые способствуют повышению привилегий и обходу системы безопасности. После открытия ZIP-файл загружает EXE-файлы, что приводит к взаимодействию с сервером и потенциальной эксфильтрации NTLM-хэшей, позволяющей злоумышленникам выдавать себя за пользователей.

CERT-UA сотрудничала с ClearSky и приписала атаки злоумышленнику UAC-0194. 12 ноября 2024 года Microsoft выпустила обновление безопасности для CVE-2024-43451, устраняющее эту уязвимость.