Minstens 11 door de staat gesteunde hackgroepen uit Noord-Korea, Iran, Rusland en China hebben sinds 2017 misbruik gemaakt van een nieuwe Windows-kwetsbaarheid in datadiefstal en zero-day cyberespionage-aanvallen.

Echter, zoals beveiligingsonderzoekers Peter Girnus en Aliakbar Zahravi van Trend Micro’s Zero Day Initiative (ZDI) vandaag meldden, heeft Microsoft het in september laten weten dat het niet voldeed aan de “bar servicing” en dat het geen beveiligingsupdates zal uitbrengen om het aan te pakken.

“We hebben bijna duizend Shell Link (.lnk) samples ontdekt die gebruikmaken van ZDI-CAN-25373; echter, het is waarschijnlijk dat het totale aantal exploitatiepogingen veel hoger is,” zeiden ze. “Vervolgens hebben we een proof-of-concept exploit ingediend via het bug bounty-programma van Trend ZDI aan Microsoft, die hebben geweigerd deze kwetsbaarheid met een beveiligingspatch aan te pakken.”

Een woordvoerder van Microsoft was niet direct beschikbaar voor commentaar toen BleepingComputer eerder vandaag contact opnam.

Hoewel Microsoft nog geen CVE-ID aan deze kwetsbaarheid heeft toegewezen, volgt Trend Micro deze intern als ZDI-CAN-25373 en zei dat het aanvallers in staat stelt om willekeurige code uit te voeren op getroffen Windows-systemen.

Zoals de onderzoekers ontdekten tijdens het onderzoeken van de in het wild gebruikte ZDI-CAN-25373 exploitatie, is het beveiligingslek uitgebuit in wijdverspreide aanvallen door vele door de staat gesponsorde dreigingsgroepen en cybercriminele bendes, waaronder Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni en anderen.

Hoewel de campagnes slachtoffers wereldwijd hebben getarget, waren ze voornamelijk gericht op Noord-Amerika, Zuid-Amerika, Europa, Oost-Azië en Australië. Van alle geanalyseerde aanvallen was bijna 70% gekoppeld aan spionage en informatie diefstal, terwijl financieel gewin slechts het doel was van 20%.

“Diverse malware payloads en loaders zoals Ursnif, Gh0st RAT en Trickbot zijn getraceerd in deze campagnes, waarbij malware-as-a-service (MaaS) platforms het dreigingslandschap compliceren,” voegde Trend Micro toe.

De ZDI-CAN-25373 Windows zero-day

De Windows zero-day, gevolgd als ZDI-CAN-25373, wordt veroorzaakt door een User Interface (UI) Misrepresentation of Critical Information (CWE-451) zwakte, die aanvallers in staat stelt om uit te buiten hoe Windows snelkoppeling (.lnk) bestanden weergeeft om detectie te vermijden en code uit te voeren op kwetsbare apparaten zonder medeweten van de gebruiker.

Bedreigingsactoren maken misbruik van ZDI-CAN-25373 door kwaadaardige command-line argumenten te verbergen binnen .LNK snelkoppeling bestanden met gebruik van opvulspaties toegevoegd aan de COMMAND_LINE_ARGUMENTS structuur.

De onderzoekers zeggen dat deze opvulspaties kunnen worden gevormd als hex codes voor Spatie (x20), Horizontale Tab (x09), Regelfeed (x0A), Verticale Tab (x0B), Form Feed (x0C) en Carriage Return (x0D) die kunnen worden gebruikt als opvulling.

Als een Windows-gebruiker zo’n .lnk-bestand inspecteert, worden de kwaadaardige argumenten niet weergegeven in de Windows-gebruikersinterface vanwege de toegevoegde opvulspaties. Hierdoor blijven de door de aanvallers toegevoegde commandoregelargumenten verborgen voor de gebruiker.

“Gebruikersinteractie is vereist om deze kwetsbaarheid uit te buiten, omdat het doelwit een kwaadaardige pagina moet bezoeken of een kwaadaardig bestand moet openen,” legt een Trend Micro advies vandaag uit. 

“Gemaakte gegevens in een .LNK-bestand kunnen gevaarlijke inhoud in het bestand onzichtbaar maken voor een gebruiker die het bestand via de door Windows verstrekte gebruikersinterface inspecteert. Een aanvaller kan deze kwetsbaarheid gebruiken om code uit te voeren in de context van de huidige gebruiker.”

Deze kwetsbaarheid lijkt op een andere fout, gevolgd onder CVE-2024-43461, die dreigingsactoren in staat stelde 26 gecodeerde braille opvulkarakters (%E2%A0%80) te gebruiken om HTA-bestanden te camoufleren die kwaadaardige payloads als PDF’s kunnen downloaden. CVE-2024-43461 werd gevonden door Peter Girnus, een Senior Threat Researcher bij Trend Micro’s Zero Day, en werd door Microsoft gepatcht tijdens de Patch Tuesday van september 2024.

De Void Banshee APT-hackgroep maakte gebruik van CVE-2024-43461 in zero-day aanvallen om informatie-stelende malware uit te rollen in campagnes tegen organisaties in Noord-Amerika, Europa en Zuidoost-Azië.