マイクロソフト、Windowsの脆弱性がゼロデイとして悪用されていたこと明かす:CVE-2024-43461 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > マイクロソフト、Windowsの脆弱性がゼロデイとして悪用されていたこと明かす:CVE-2024-43461

Threat Report

APT

Atlantida

Silobreaker-CyberAlert

マイクロソフト、Windowsの脆弱性がゼロデイとして悪用されていたこと明かす:CVE-2024-43461

Yoshida

Yoshida

2024.09.17

マイクロソフト、Void Banshee APTの攻撃で2件目のゼロデイが悪用されていたことを確認(CVE-2024-43461)

Help Net Security – September 16, 2024

マイクロソフトは13日、CVE-2024-43461に関するアドバイザリを更新し、この脆弱性が今年6月以前に、別の脆弱性CVE-2024-38112に関連する攻撃チェーンの一部として悪用されていたことを明らかにした。

CVE-2024-38112は、Windows MSHTMLプラットフォームにおけるスプーフィングの脆弱性で、特別に細工されたHTMLによってトリガーされる恐れがある。この脆弱性は今年7月に開示・修正された直後、ゼロデイとしてVoid Banshee APTグループに悪用されていたことがトレンドマイクロのZDIチームにより明かされていた。同チームによれば、このグループは世界中で情報窃取型マルウェアAtlantidaを配布するために、1年以上にわたってCVE-2024-38112を悪用していたとされている。

一方、CVE-2024-43461も同様にWindows MSHTMLにおけるスプーフィングの脆弱性であり、修正版が先週10日にリリースされているが、リリース当時は実際の攻撃での悪用事例はないとされていた。

攻撃ではCVE-2024-38112が、PDFファイルに扮するURLファイルをInternet Explorerで強制的に開くために悪用されていたという。同URLは攻撃者が制御するページにつながるもので、HTAファイルのダウンロードを開始させる。特別に細工されたこのHTAファイルには、PowerShellを利用して追加のスクリプトをダウンロード・実行したり、追加のトロイの木馬ローダーをダウンロードしたり、Atlantidaを配信するスクリプトが含まれていた模様。また、当該HTAファイルはCVE-2024-43461を利用し、PDFファイルに見せかけて作られているため、ユーザーから実際の拡張子や中身がわからないようになっていたという。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ