I det mindste 11 statssponsorerede hackergrupper fra Nordkorea, Iran, Rusland, og Kina har aktivt udnyttet et nyligt afdækket Windows zero-day sårbarhed i cyberspionage og datatyveriangreb siden 2017. Trods klare beviser på udnyttelse, Microsoft har afvist at udgive en sikkerhedsopdatering for at løse problemet.
Microsoft afviser at patch ZDI-CAN-25373
Sikkerhed forskere Peter Girnus og Aliakbar Zahravi fra Trend Micros Zero Day Initiative (kort kendt som ZDI) afslørede det næsten 1,000 Shell Link (.LNK) prøver udnytte denne sårbarhed, spores som ZDI-CAN-25373, er blevet identificeret. Estimatet er, at det faktiske antal udnyttelsesforsøg er meget højere.
Forskerne indsendte en proof-of-concept (PoC) udnytte gennem Trend Micro ZDI's bug bounty-program. Men, Microsoft klassificerede sårbarheden som “ikke møder baren for servicering” og afviste at lappe det.
Global spionage og datatyveri i stor skala
Trusselsaktører har udnyttet ZDI-CAN-25373 i udbredte cyberangreb på tværs Nordamerika, Sydamerika, Europa, Østasien, og Australien. Størstedelen af disse angreb, omkring 70%, er blevet sat i forbindelse med spionage og datatyveri, mens økonomiske motiver udgjorde ca 20%.
Blandt de hackergrupper, der udnytter denne sårbarhed, er kendte statssponsorerede aktører som f.eks Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, og Konni. Disse APT cyberkriminelle har implementeret forskellige malware-nyttelaster, Herunder Ursnif, Gh0st RAT, og Trick bot, gør brug af malware-as-a-service platforme for yderligere at udvide deres rækkevidde.
Hvordan virker sårbarheden?
Windows zero-day sårbarheden er forårsaget af en Bruger interface (UI) Urigtig fremstilling af kritisk information svaghed. Det udnytter, hvordan Windows håndterer .lnk genvejsfiler, giver angribere mulighed for at udføre vilkårlig kode på målrettede enheder, mens de undgår opdagelse.
Angribere manipulerer .lnk filer ved at indsætte skjulte kommandolinjeargumenter vha polstrede mellemrum, som kan have form af kodede hex-tegn, såsom:
\x20(Plads)\x09(Vandret fane)\x0A(Linefeed)\x0B(Lodret faneblad)\x0C(Form feed)\x0D(Vognretur)
Disse skjulte rum forhindrer brugere i at se ondsindede argumenter i Windows UI, gør det muligt for angribere at udføre kommandoer snigende.
Microsoft har endnu ikke tildelt en CVE-ID til denne sårbarhed, mens Trend Micro fortsætter med at spore det som ZDI-CAN-25373. Problemet ligner meget en anden sårbarhed, CVE-2024-43461, som blev brugt af Void Banshee APT-gruppen til at iværksætte angreb på tværs af Nordamerika, Europa, og Sydøstasien. Microsoft patchede CVE-2024-43461 i løbet af september 2024 Patch tirsdag.
På trods af stigende bekymringer fra sikkerhedsforskere, Microsoft har ikke givet nogen indikation af, at en patch til ZDI-CAN-25373 vil blive frigivet, efterlader Windows-brugere udsat for igangværende cybertrusler.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: