Finalmente 11 grupos de hackers patrocinados pelo estado da Coreia do Norte, Eu corri, Rússia, e a China têm explorado ativamente um Windows recentemente descoberto vulnerabilidade zero-day em ataques de espionagem cibernética e roubo de dados desde 2017. Apesar das evidências claras de exploração, A Microsoft se recusou a lançar uma atualização de segurança para resolver o problema.
Microsoft se recusa a corrigir ZDI-CAN-25373
Os pesquisadores de segurança Pedro Girnus e Aliakbar Zahravi da Iniciativa Zero Day da Trend Micro (conhecido em breve como ZDI) revelou que quase 1,000 Link de concha (.lnk) amostras explorando esta vulnerabilidade, rastreado como ZDI-CAN-25373, foram identificados. A estimativa é que o número real de tentativas de exploração seja muito maior.
Os pesquisadores submeteram um prova de conceito (PoC) explorar através do programa de recompensa por bugs da Trend Micro ZDI. Contudo, A Microsoft classificou a vulnerabilidade como “não atendendo aos padrões de serviço” e se recusou a consertá-lo.
Espionagem global e roubo de dados em escala
Os agentes de ameaças aproveitaram ZDI-CAN-25373 em ataques cibernéticos generalizados em América do Norte, América do Sul, Europa, Ásia Oriental, e na Austrália. A maioria desses ataques, por aí 70%, foram associados à espionagem e ao roubo de dados, enquanto os motivos financeiros foram responsáveis por aproximadamente 20%.
Entre os grupos de hackers que exploram esta vulnerabilidade estão atores bem conhecidos patrocinados pelo Estado, como mal Corp, APT43 (Kimsuky), Amargo, APT37, Mustang Panda, Enrolador lateral, Hotel Vermelho, e Konni. Estes Cibercriminosos APT implantaram diversas cargas de malware, Incluindo Ursnif, Gh0st RAT, e Truque bot, fazendo uso de malwares-as-a-service plataformas para expandir ainda mais seu alcance.
Como funciona a vulnerabilidade?
A vulnerabilidade de dia zero do Windows é causada por um Interface de usuário (UI) Representação enganosa de informações críticas fraqueza. Ele explora como o Windows lida .lnk arquivos de atalho, permitindo que os invasores executem códigos arbitrários em dispositivos alvos enquanto evitam a detecção.
Os atacantes manipulam .lnk arquivos inserindo argumentos ocultos de linha de comando usando espaços em branco preenchidos, que pode assumir a forma de caracteres hexadecimais codificados, tal como:
\x20(Espaço)\x09(Guia horizontal)\x0A(Alimentação de linha)\x0B(Guia vertical)\x0C(Feed de formulário)\x0D(Retorno de carro)
Esses espaços ocultos impedem que os usuários vejam argumentos maliciosos na IU do Windows, permitindo que os invasores executem comandos furtivamente.
A Microsoft ainda não atribuiu um CVE-ID a esta vulnerabilidade, enquanto a Trend Micro continua a monitorá-lo como ZDI-CAN-25373. O problema é bastante semelhante a outra vulnerabilidade, CVE-2024-43461, que foi usado pelo grupo Void Banshee APT para lançar ataques em toda a América do Norte, Europa, e Sudeste Asiático. A Microsoft corrigiu o CVE-2024-43461 durante o mês de setembro 2024 patch Tuesday.
Apesar das crescentes preocupações dos pesquisadores de segurança, A Microsoft não forneceu nenhuma indicação de que um patch para ZDI-CAN-25373 será lançado, deixando os usuários do Windows expostos a ameaças cibernéticas contínuas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: