Vulnerabilidad de Windows utilizada para ataques de día cero

Microsoft ha lanzado el parche para una vulnerabilidad en Ventanas el 10 de septiembre. La empresa de Redmond tiene actualizado el correspondiente boletín de seguridad para especificar que existe un exploit en circulación. Como descubrió un investigador de Trend Micro, los ataques fueron llevados a cabo por el grupo Banshee del vacío.

Archivos HTA con espacios en Braille

Los ciberdelincuentes aprovecharon la vulnerabilidad de día cero, denominada CVE-2024-43461para distribuir un ladrón de información. En julio ya se había utilizado una técnica similar para el mismo tipo de error presente en mshtml.dll (CVE-2024-38112), motor de renderizado de Internet Explorer (aún instalado en Windows).

Los ciberdelincuentes utilizan un archivo especial de acceso directo a Internet de Windows con extensión .url que, al hacer clic, obliga al uso de Internet Explorer para descargar un archivo HTA. Si se abre, se ejecuta un script que instala Atlántidaun ladrón de información que roba contraseñas, cookies y billeteras de criptomonedas.

La nueva versión del archivo HTA explota la vulnerabilidad CVE-2024-43461. El usuario ve un archivo con extensión PDF porque la extensión HTA está oculta por 26 caracteres braille espaciales. (%E2%A0%80). Los espacios agregados no le permiten ver la extensión real en la interfaz de usuario (solo ve tres puntos...).

Después de instalar el parche se puede ver la extensión HTA real, pero los espacios no se eliminan. La solución no es perfecta porque aún se podría engañar a los usuarios. Además de las actualizaciones de seguridad, es recomendable instalar también un buen antivirus que detecte las últimas amenazas.