- בלוג
- מייקרוסופט מעדכנת כי פרצת אבטחה בווינדוס נוצלה לפני תיקונה
מייקרוסופט מעדכנת כי פרצת אבטחה בווינדוס נוצלה לפני תיקונה
מייקרוסופט מעדכנת כי פרצת אבטחה בווינדוס נוצלה לפני תיקונה
פורסם ב 22-09-2024
חברת מייקרוסופט עדכנה בדף המידע שלה שהפרצה המתוייגת כ-CVE-2024-43461 נוצלה על ידי קבוצת ההאקרים Void Banshee לפני שתוקנה.
זאת, לאחר (ולמרות) שהפרצה לא סומנה כאחת שנוצלה בעבר, כאשר נחשפה על ידי מייקרוסופט ב- Patch Tuesday (“מאורע” שמתרחש פעם בחודש ובו מייקרוסופט משחררת תיקוני אבטחה שונים למערכות שלה) של חודש ספטמבר (2024).
הפרצה זוהתה על ידי פיטר גירנוס (Peter Girnus), חוקר ZDI (יוזמת יום אפס – Zero Day Initiative) של חברת Trend Micro, והיוותה חלק משרשרת מתקפות יום-אפס (Zero Day Attacks) שבוצעו על ידי Void Banshee. מטרת המתקפות הייתה להדביק מערכות ווינדוס ב-Atlantida Infostealer – סוס טרויאני שמיועד לגנוב סיסמאות וקבצי-עוגיות בעלי מידע אימות משתמש.
פרצה נוספת זוהתה כחלק מ-ZDI על ידי חוקר Check Point ששמו האיפיי לי (Haifei Li), ותוייגה כ-CVE-2024-38112. על פי דיווחו של לי, ישנן עדויות כי פרצה זו הייתה בשימוש עוד מינואר 2023 (!).
מתקפות יום-אפס הן מתקפות אשר משתמשות בבאג או בפגיעות שאינן ידועות למפתח/ספק התוכנה המותקפת. המונח “יום-אפס” (Zero-day) מבטא את העובדה שהמתקפה מתרחשת באותו היום בו הפרצה מתגלה על ידי התוקפים – כלומר, אפס ימים למפתח/ספק ולמשתמשים להתכונן ולהתגונן.
איך הפרצות עובדות?
בשתי הפרצות נעשה שימוש בקבצי URL שמוסווים כקבצים אחרים (כמו קבצי PDF). אלא שהקבצים האלה מכילים שורת קוד, שמאפשרת להם להיפתח על ידי דפדפן אינטרנט אקספלורר (כזכור לחלקנו, הדפדפן יצא משימוש לפני כשנתיים) שלא היה ידוע במיוחד בתחכום או ברמת האבטחה שלו. דרך אינטרנט אקספלורר, לאחר שקבצי ה-URL נפתחים, מתבצעת הורדה של קבצי HTA למערכות המותקפות (אינטרנט אקספלורר מאפשר להוריד את הקבצים האלה בלי מתן אזהרה). פתיחתם של קבצים אלה תביא להרצה של סקריפט, שמתקין את Atlantida Infostealer. את התוצאה לא קשה לנחש – שער פתוח לתוקפים לגנוב את המידע שהם רוצים.
קבצי HTA הם פורמט של אפליקציית HTML, או HTML Application. הם כתובים בכמה שפות תכנות, והייתרון בשימוש בהם בפרצה כמו זאת המתוארת כאן הוא שניתן להריץ אותם דרך דפדפן אינטרנט אקספלורר כאילו היו קובץ יישום רגיל (exe.). פתיחה של קובץ HTA לרוב תריץ את הקוד המוטמע בקובץ.
על פי דיווחו של גירנוס, התוקפים הסוו את הקבצים כקבצי PDF באמצעות הוספת “.pdf” לשמו של הקובץ, ולאחריו המון תווים שונים (המוגדרים כ”תווי רווח לבן” – white space characters). רק בסוף כל מגילת התווים הזאת – שמרביתה לא מוצגת – מופיע הפורמט האמיתי של הקובץ (.hta).
לדוגמה:
אם בודקים את שמו המלא של הקובץ, ניתן להבחין בסיומת .hta. אך מאחר והתווים מופיעים בקבוצה גדולה, ומאחר והם “תווי רווח לבן”, ווינדוס מציגה את שמו של הקובץ רק עד החלק של “.pdf”, כלומר, הקובץ נראה כמו קובץ PDF למי שמנסה לפתוח אותו.
אחרי ביצוע העדכונים, פתיחת קובץ אמורה להיראות כך:
שימו לב לשם הקובץ – הוא כביכול בעל סיומת של קובץ PDF, אבל ישנו רווח גדול לאחר מכן (בגלל תווי הרווח הלבן) ובקצה ניתן לראות שהוא למעשה בעל סיומת .hta. בנוסף, ניתן לראות שהתווספה שורה חדשה המציינת שמדובר בקובץ HTA.
בהתאם לכך, מומלץ גם לאחר ביצוע העדכון לבדוק את שמות הקבצים שפותחים ולשים לב לכל פרט מזהה – לא הכל כמו שהוא נראה.
כדי להגן על המערכות שלכם, מייקרוסופט ממליצה בדף המידע על הפרצה להתקין את עדכוני האבטחה של חודשים יולי וספטמבר 2024.
נשמח לעזור אם תצטרכו עזרה נוספת. צור קשר
