在Internet Explorer中发现了一个被攻击者积极利用的零日漏洞,该浏览器据称是Microsoft在一年多前就已经关闭的浏览器。
作为其最新补丁星期二的一部分,Microsoft 发布了 142 个漏洞的补丁。其中有四个零日漏洞。虽然其中两个已经为公众所知,但另外两个已被恶意行为者积极利用。
有趣的是,在Internet Explorer中发现了其中一个零日漏洞,据称在过去的18个月中一直被用来窃取密码。是的——Microsoft 早在 2015 年就停止开发的同一款浏览器,并承诺在 2023 年 2 月明确、绝对、肯定地埋葬。不幸的是,病人被证明是固执的——抗拒自己的葬礼。
为什么Internet Explorer并不像我们想要的那样
死气沉沉
去年,我写了一篇关于扼杀Internet Explorer的最新尝试实际上意味着什么的文章。我在这里只给出一个简短的版本;您可以在链接中找到完整的故事。在“告别”更新中,Microsoft 并没有从系统中删除浏览器,而只是禁用了它(即便如此,也不是在所有版本的 Windows 中)。
实际上,这意味着Internet Explorer仍然潜伏在系统内;用户只是不能将其作为独立浏览器启动。因此,在这个据称已停产的浏览器中发现的任何新漏洞仍然可能对 Windows 用户构成威胁——即使是那些多年没有接触过 Internet Explorer 的用户。
CVE-2024-38112:Windows MSHTML 中的漏洞
现在我们来谈谈发现的漏洞CVE-2024-38112。这是为 Internet Explorer 提供支持的 MSHTML 浏览器引擎中的一个缺陷。该漏洞在 CVSS 3 等级中的评分为 7.5 分(满分 10 分),严重性级别为“高”。
为了利用此漏洞,攻击者需要以看似无辜的 Internet 快捷方式格式(.url,Windows Internet 快捷方式文件)创建一个恶意文件,其中包含带有 mhtml 前缀的链接。当用户打开此文件时,将启动 Internet Explorer(其安全机制不是很好),而不是默认浏览器。
攻击者如何利用 CVE-2024-38112
为了更好地理解这个漏洞是如何工作的,让我们看一下发现它的攻击。这一切都始于向用户发送一个 .url 文件,其中包含用于 PDF 的图标和双重扩展名 .pdf.url。
因此,对于用户来说,这个文件看起来像是 PDF 的快捷方式——看似无害的东西。如果用户点击该文件,则会利用CVE-2024-38112漏洞。由于 .url 文件中的 mhtml 前缀,它会在 Internet Explorer 中打开,而不是在系统的默认浏览器中打开。
问题在于,在相应的对话框中,Internet Explorer 会显示相同的 .url 文件的名称,并假装是 PDF 快捷方式。因此,可以合理地假设单击“打开”后,将显示 PDF。但是,实际上,快捷方式会打开一个链接,该链接会下载并启动 HTA 文件。
这是一个HTML应用程序,是Microsoft发明的脚本语言之一的程序。与普通的 HTML 网页不同,此类脚本作为成熟的应用程序运行,可以执行很多事情——例如,编辑文件或 Windows 注册表。简而言之,它们非常危险。
启动此文件时,Internet Explorer 会以 Windows 用户熟悉的格式显示信息量不大的警告,许多人会简单地忽略它。
当用户单击“允许”时,信息窃取恶意软件会在用户的计算机上启动,收集存储在浏览器中的密码、cookie、浏览历史记录、加密钱包密钥和其他有价值的信息,并将它们发送到攻击者的服务器。
如何防范 CVE-2024-38112
Microsoft 已经修补了这个漏洞。安装此更新可确保 .url 文件中的 mhtml 技巧将不再起作用,并且此类文件将从此在更安全的 Edge 浏览器中打开。
尽管如此,这一事件再次提醒我们,在可预见的未来,“已故”的浏览器将继续困扰Windows用户。在这方面,建议及时安装与 Internet Explorer 和 MSHTML 引擎相关的所有更新。以及在所有 Windows 设备上使用可靠的安全解决方案。
原文始发于微信公众号(卡巴斯基网络安全大百科):Internet Explorer 中的零日漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论