对 Windows 和 WhatsUp Gold ，CISA 要求联邦机构在2024 年 10 月 7 日之前应用必要的补丁

美国网络安全和基础设施安全局（CISA）发出警告，将两个被积极利用的安全漏洞添加到其已知被利用漏洞（KEV）目录中，敦促全球联邦机构和组织立即采取行动。

CVE-2024-43461：Microsoft Windows MSHTML 平台欺骗漏洞 (CVSS 8.8)

由于一个严重的用户界面 (UI) 虚假陈述漏洞被曝光，微软的 MSHTML 平台正面临威胁。该漏洞被标识为CVE-2024-43461，攻击者可以利用该漏洞伪造网页，诱骗用户下载或执行恶意文件。利用此漏洞需要用户交互，通常是访问恶意网站或打开特制文件。该漏洞的危险之处在于它如何伪装文件扩展名，误导用户相信恶意文件是无害的。

根据零日倡议 (ZDI) 的安全公告，该漏洞源自 Internet Explorer 在下载文件后提示用户的方式。攻击者可以利用这种虚假陈述在当前用户的上下文中执行恶意代码。该漏洞与CVE-2024-38112（CVSS 评分为 7.5 的零日漏洞）同时被利用，这加剧了威胁。

2024 年 7 月，趋势科技研究人员将CVE-2024-38112与一个名为“Void Banshee”的高级持续性威胁 (APT) 组织联系起来。该组织利用 Windows 零日漏洞部署了Atlantida信息窃取恶意软件，该恶意软件会从受感染的系统中窃取密码和浏览器 cookie 等敏感数据。该漏洞于 2024 年 5 月首次被发现被利用，Void Banshee 利用该漏洞针对已禁用 Internet Explorer 的系统，这进一步增加了检测和防御的难度。

CVE-2024-6670：Progress WhatsUp Gold SQL 注入漏洞 (CVSS 9.8)

Progress WhatsUp Gold 是一款流行的网络监控工具，现已通过一个严重的SQL 注入漏洞（编号为CVE-2024-6670 ）受到攻击。该漏洞的 CVSS 评分为 9.8，如果应用程序配置了单个用户，则允许未经身份验证的攻击者检索加密的用户密码。更令人不安的是，该漏洞已被用于一系列远程代码执行 (RCE) 攻击。

趋势科技研究人员发现，攻击者通过 Active Monitor PowerShell Script 功能利用 SQL 注入漏洞，使用合法的 WhatsUp Gold 进程NmPoller.exe执行恶意 PowerShell 脚本。通过这样做，攻击者可以下载和部署各种远程访问工具 (RAT)，例如Atera Agent、Radmin、SimpleHelp Remote Access和Splashtop Remote，从而在受害者的系统上建立持久性。

攻击者使用msiexec.exe（一种受信任的 Windows 安装程序进程）从恶意 URL 秘密安装 RAT，从而绕过传统的检测机制。一旦进入网络，威胁行为者就可以不被发现地进行操作，保持对受感染环境的控制，同时不断窃取数据或部署其他有效载荷。

联邦机构被要求采取行动

为了应对这两个漏洞被积极利用的情况，CISA 要求联邦机构在2024 年 10 月 7 日之前应用必要的补丁和缓解措施。微软和 Progress 都发布了针对这些漏洞的补丁，并敦促管理员立即更新受影响的系统，以防止进一步的利用。

希望这些信息对您有所帮助！如果觉得这篇文章有价值，欢迎点赞、分享、再看、转载，如果您有网络安全的疑问，联系我随时为您解答，感谢您的支持！