最近招引的" Windows MSHTML 诳骗纰谬"被追踪为 CVE-2024-43461，现时被标志为之前已被阁下，因为它曾被 Void Banshee APT 黑客组织用于挫折。在 2024 年 9 月补丁星期二初度闪现时，微软并未将该纰谬标志为之前被阁下。可是巨屌 av，微软在最新更新的 CVE-2024-43461 公告中，标明它在招引之前曾被阁下用于挫折。

该纰谬的发现归功于零日高等要挟研讨员 Peter Girnus，他发现 Void Banshee 在零日挫折中阁下 CVE-2024-43461 纰谬来装配窃取信息的坏心软件。

Void Banshee 是其初度追踪的一个 APT 黑客组织，其主义是北好意思、欧洲和东南亚的组织，以窃取数据和得回经济利益为主要主义。

CVE-2024-43461 零日纰谬

7 月份，Check Point Research 和 Trend Micro 均敷陈了雷同的挫折，这些挫折阁下 Windows 零日纰谬感染设备，并装配 Atlantida 信息窃取才智，用于从受感染设备窃取密码、身份考据 cookie 和加密货币钱包。

这次挫折阁下了被追踪为 CVE-2024-38112（7 月招引）和 CVE-2024-43461（本月招引）的零日纰谬看成挫折链的一部分。

CVE-2024-38112 零日纰谬的发现归功于 Check Point 研讨员 Haifei Li，他暗示，该纰谬被用来强制 Windows 在启动特制的快捷时势文献时在 Internet Explorer 中绽放坏心网站，而不是在 Microsoft Edge 中绽放。

研讨员在 7 月份的 Check Point Research 敷陈中表现说念："挫折者使用稀奇的 Windows Internet 快捷时势文献（.url 膨大名），单击该文献时，会调用已退役的 Internet Explorer（IE）来打听挫折者限制的 URL。"

这些 URL 用于下载坏心 HTA 文献并领导用户绽放它。绽放后，将运转剧底本装配 Atlantida 信息窃取才智。HTA 文献阁下另一个零日纰谬（追踪为 CVE-2024-43461）来装扮 HTA 文献膨大名，并在 Windows 领导用户是否应绽放时使文献涌现为 PDF，如下所示。

ZDI 研讨员 Peter Girnus 暗示，CVE-2024-43461 纰谬也被用于 Void Banshee 挫折，通过包含 26 个编码盲文空缺字符 ( ⠀ ) 的 HTA 文献名创建 CWE-451 要求以装扮 .hta 膨大名。

如下所示，文献名以 PDF 文献来源，但包含 26 个重迭编码盲文空缺字符 ( ⠀ ) ，后跟临了的" .hta "膨大名。

Books_A0UJKO.pdf⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀.ht

当 Windows 绽放此文献时，盲文空缺字符会将 HTA 膨大推到用户界面以外，仅在 Windows 领导顶用" ... "字符串轨则边界，如下所示。这导致 HTA 文献涌现为 PDF 文献，使其更有可能被绽放。

盲文空缺字符将 HTA 膨大推离了视野

装配 CVE-2024-43461 的安全更新后，Girnus 暗示空格未被删除，但 Windows 现时在领导中涌现文献的骨子 .hta 膨大名。

安全更新现时涌现 HTA 膨大

但这个招引并不无缺，因为包含的空格可能仍然会让东说念主们误觉得该文献是 PDF 而不是 HTA 文献。

微软在 9 月补丁星期二招引了其他三个被积极阁下的零日纰谬巨屌 av，其中包括 CVE-2024-38217，该纰谬被阁下于 LNK 踩踏挫折中以绕过 Web 安全功能的标志。