CVE-2024-43461

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-09-16

Официальное описание

Microsoft Windows MSHTML Platform contains a user interface (UI) misrepresentation of critical information vulnerability that allows an attacker to spoof a web page. This vulnerability was exploited in conjunction with CVE-2024-38112.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-43461 — это уязвимость типа UI Misrepresentation (подмена интерфейса) в движке MSHTML, который используется операционной системой Windows и браузером Internet Explorer (даже если он отключен как основное приложение).

Злоумышленники используют специально сформированные файлы (часто с расширением .url), которые содержат скрытые символы в кодировке Braille или другие невидимые символы. Это позволяет скрыть реальное расширение файла (например, .exe) и отобразить его пользователю как безобидный документ (например, .pdf). Уязвимость активно эксплуатировалась группировкой Void Banshee в связке с CVE-2024-38112 для доставки вредоносного ПО через легитимные системные вызовы.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от сентября 2024 года.

  1. Откройте «Параметры» -> «Обновление и безопасность» -> «Центр обновления Windows».
  2. Нажмите «Проверить наличие обновлений».
  3. Установите накопительный пакет обновления (Cumulative Update), соответствующий вашей версии ОС (например, KB5043076 для Windows 11 или KB5043064 для Windows 10).

Для принудительной проверки обновлений через терминал выполните:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать векторы атаки:

  1. Блокировка обработки файлов .url через реестр (предотвращает запуск ярлыков, ссылающихся на вредоносные скрипты):
reg add "HKEY_CLASSES_ROOT\InternetShortcut\shell\Open\command" /ve /t REG_SZ /d "" /f
  1. Настройка Windows Defender SmartScreen на блокировку неопознанных файлов:
Set-MpPreference -EnableSmartScreenTestMode $false

  1. Использование политик ограничения программного обеспечения (AppLocker или Windows Defender Application Control) для запрета запуска скриптов и исполняемых файлов из временных папок браузеров и почтовых клиентов.

  2. Обучение пользователей: запрет на открытие файлов с подозрительными именами или двойными расширениями, полученных из недоверенных источников, даже если иконка выглядит как документ.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей