Súlyosabb a Windows hibája, mint a Microsoft gondolta

Egy újabb Windows-os sérülékenységről igazolódott be, hogy az már aktív támadásokban is szerephez jut, ezért az e havi frissítések telepítése még fontosabbá vált.
 

A Microsoft a szeptemberi hibajavító kedden sok más sérülékenység mellett egy olyan biztonsági hibáról is beszámolt, amely az utóbbi napokban középpontba került. Miközben a hibajavító kedden még úgy nyilatkozott a Microsoft, hogy nincs tudomása arról, hogy a szóban forgó, CVE-2024-43461 azonosítóval ellátott sebehetőség szerepet kapna aktív (éles) támadásokban, aközben ezt a meglátását pénteken felülbírálta. Időközben ugyanis kiderült, hogy a hiba már azelőtt is segítette a kiberbűnözőket, hogy a javítás elérhetővé vált.
 
A problémákat tetézi, hogy az eddig kivizsgált támadások során az elkövetők egy sérülékenységi lánc egyik elemeként használták ki a sebezhetőséget azzal a CVE-2024-38112 azonosítójú hibával együtt, amelyhez a javítás idén júliusban vált elérhetővé. A két sérülékenység közös jellemzője, hogy mindkettő a Windows MSHTML összetevőjében található, és összességében lehetőséget adnak a támadók számára, hogy a felhasználók megtévesztésével kártékony kódokat futtassanak a célkeresztbe állított számítógépeken. Ehhez mindössze azt kell elérniük, hogy a felhasználó meglátogasson egy kártékony weboldalt vagy megnyisson egy ártalmas fájlt.
 
A két sérülékenységgel összefüggésben napvilágra került incidensek során a támadók (a Void Banshee APT-csoport tagjai) olyan HTA-fájlokat terjesztettek, amelyek a számítógépekre való letöltésükkor PDF-állományoknak látszottak. A CVE-2024-43461 hiba révén ugyanis el tudták rejteni a .hta kiterjesztést, így a felhasználó csak annyit látott, hogy egy PDF-fájlt tud megnyitni. Amikor ezt megtette, akkor a számítógépére egy adatszivárogtatásra alkalmas károkozó települt.
 
A fenti kockázatok értékelése után a CISA úgy döntött, hogy a szeptemberben befoltozott biztonsági rést is felveszi a KEV (Known Exploited Vulnerabilities) katalógusba, és egyúttal október 7-ig adott határidőt az amerikai szövetségi ügynökségeknek arra, hogy minden számítógépükön megszüntessék a biztonsági hibát.
 
Noha a KEV alapvetően az amerikai intézmények számára készül, nagyon jó iránymutatással szolgál a privát szektornak is, így érdemes figyelni a változásait.