誰能想到,早在 2022 年 6 月 15 日正式退役的 IE 瀏覽器,近日還能因漏洞被推上風口浪尖?
全球網絡安全解決方案提供商 Check Point Research(簡稱為 CPR)最近發現:有攻擊者在過去 18 個月里,通過構建特殊的 Windows Internet 快捷方式文件(即 .url),引誘用戶點擊并調用 IE 瀏覽器來訪問攻擊者控制的 URL,以此進行惡意攻擊。
據了解,這種漏洞甚至可以繞過 Windows 10、Windows 11 系統的安全防護。
強制調用 IE 瀏覽器打開 URL
據悉,該漏洞由 CPR 研究人員發現,追蹤編號為 CVE-2024-38112,微軟方面將其描述為 Windows MSHTML 平臺欺騙漏洞,自 2023 年 1 月以來就一直在被黑客利用:“我們發現的惡意 .url 樣本最早可以追溯到 2023 年 1 月(一年多前),最晚可以追溯到 2024 年 5 月 13 日。這表明,網絡罪犯使用這種攻擊技術已經有一段時間了。”
通過對攻擊過程的詳細分析,CPR 研究人員將該漏洞的實現分解為兩個步驟:
第一步是利用“mhtml”技巧,使得攻擊者可調用已退役的 IE 而非更安全的 Chrome/Edge。
第二步是通過某種 IE 技巧隱藏 .hta 這個擴展名,讓受害者以為他們只是打開了一個 PDF 文件——但實際上,他們正在下載并啟動一個惡意的 .hta 應用程序。
那么接下來,我們就先了解一下這個能在 Windows 中調用 IE 瀏覽器的“mhtml”技巧。
一般情況下,Internet 快捷方式文件(即 .url)是一個文本文件,里面包含各種配置信息,如顯示什么圖標、雙擊時打開什么鏈接等。將其保存為 .url 文件并雙擊后,Windows 會在默認瀏覽器中打開這個 URL。
然而,攻擊者發現可以在 URL 指令中使用 mhtml: URI 處理程序,以此強制用 IE 瀏覽器打開指定的 URL。以下面這個惡意 .url 樣本為例:
可以看到,.url 文件的最后幾行字符串指向 Microsoft Edge 應用程序文件中的一個自定義圖標。乍一看,它似乎指向一個 PDF 文件,但實際上并非如此。CPR 研究人員發現這個關鍵字的值與通常的關鍵字有很大不同:普通 .url 文件的參數類似于 URL=https://www.google.com;但這個惡意樣本的值是 URL=mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html。
它使用了一個特殊的前綴“mhtml:”。簡單說明一下 MHTML,這是一種“聚合 HTML 文檔的 MIME 封裝”文件,是 IE 瀏覽器中引入的一種存儲文件技術,可將包括圖像在內的整個網頁封裝成一個單一檔案。
CPR 研究人員指出,這樣的惡意 .url 文件在 Windows 11 中會顯示為一個指向 PDF 文件的鏈接:
如果受害者想打開 PDF,雙擊這個 .url 文件,然后便會彈出下面這個來自 IE 瀏覽器的窗口:
沒錯,攻擊者使用 mhtml: URI 啟動 URL 后,Windows 會自動在 IE 瀏覽器中啟動 URL,而不是默認瀏覽器。如文章開頭所說,IE 瀏覽器早在 2022 年就退出歷史舞臺了,在典型的 Windows 10/11 操作系統上,因其安全性不足,用戶一般無法直接用 IE 去訪問網站。
不過有一點需要明確:盡管 IE 已被微軟宣布“退役”,但從技術上講,IE 仍是 Windows 系統的一部分,IE 使用的專有瀏覽器引擎 MSHTML (Trident)也仍包含在操作系統中,微軟計劃至少支持該引擎到 2029 年。
因此,攻擊者使用“mhtml”技巧,讓本意想打開 PDF 的用戶,實際上正在用不安全且過時的 IE 訪問攻擊者控制的網站,尤其在 IE 下載惡意文件時安全警告也相對較少。
打開一個偽裝成 PDF 的惡意 .hta 文件
既然打開的不是 PDF,那受害者通過 IE 打開的到底是什么呢?
根據 IE 瀏覽器的彈出窗口顯示,它要求用戶打開一個名為 .Books_A0UJKO.pdf 的 PDF 文件:
可一旦點擊了這個“Open”(默認選項),緊接著又會跳出另一個窗口:IE 保護模式下的警告提示。
到了這一步,如果用戶一直以為自己打開的不過是個 PDF,大概率會忽略這個警告,那么打開的就會是一個偽裝成 PDF 的惡意 .hta 文件。這是一個從 HTML 文檔中調用的可執行程序,通過一個名為 Microsoft HTML Application Host(mshta.exe)的工具在 Windows 上運行。
CPR 研究人員解釋道:“如果我們仔細觀察 HTTP 流量,就會發現在字符串末尾有許多不可打印的字符——最后是 .hta 字符串,這才是真正的(危險的)擴展名。”
但這個 .hta 字符串被隱藏了:用戶看不到真實的擴展名,所以無防備地繼續點擊文件,根本不知道自己其實正在下載并啟動一個危險的 .hta 應用程序。
一定要警惕從不可信來源發送的 .url 文件
據 CPR 研究人員證實,這個漏洞所用的技巧在 Windows 10/11 操作系統上均可實現。
于是,CPR 方面在 2024 年 5 月 16 日向微軟安全響應中心(MSRC)報告了該漏洞。此后,雙方一直就此事密切合作,終于在 7 月 9 日發布了微軟官方補丁(CVE-2024-38112)。
從通用漏洞評分系統(CVSS)來看,CVE-2024-38112 的評分為 7.5(滿分 10 分),屬于重要漏洞,攻擊者需采取額外行動才能確保成功利用該漏洞。而不論是微軟還是 CPR,都強烈建議 Windows 用戶盡快更新該補丁,因為根據調查顯示該漏洞已被黑客利用一年多了。
最后,CPR 也給出了重要提醒:“對于相關的 Windows 用戶,我們建議一定要警惕從不可信來源發送的 .url 文件,畢竟這種類型的攻擊需要一些用戶交互(如忽略警告彈窗)才能成功。”
參考鏈接:
https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet-shortcut-file-to-lure-victims-cve-2024-38112/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112
大模型刷新一切,讓我們有著諸多的迷茫,AI 這股熱潮究竟會推著我們走向何方?面對時不時一夜變天,焦慮感油然而生,開發者怎么能夠更快、更系統地擁抱大模型?《新程序員 007》以「大模型時代,開發者的成長指南」為核心,希望撥開層層迷霧,讓開發者定下心地看到及擁抱未來。
讀過本書的開發者這樣感慨道:“讓我驚喜的是,中國還有這種高質量、貼近開發者的雜志,我感到非常激動。最吸引我的是里面有很多人對 AI 的看法和經驗和一些采訪的內容,這些內容既真實又有價值。”
1.認識 Windows 10 系統的桌面及桌面圖標
登錄到 Windows10系統后,展現在用戶面前的是它的桌面,其主要包括桌面圖標、任務欄和桌面區3個部分。
Windows 10系統桌面上和文件資源管理器中伴有名稱的小型圖片稱為圖標。圖標可以代表程序、文件、文件夾、快捷方式或其他項目。雙擊圖標可以啟動或打開它所代表的項目,用戶也可以根據需要在桌面上排列、增減圖標。常見的桌面圖標及其作用如下。
(1)“用戶文檔”圖標。雙擊此圖標,可以打開“用戶文檔”文件夾,該文件夾中包含圖片、視頻、音樂、收藏夾、文檔等多個文件夾,用于分類存放對應的文件。“用戶文檔”文件夾是系統默認的文檔保存位置。
(2)“此電腦”圖標。雙擊此圖標,可以打開“此電腦”窗口,在該窗口中可以實現對計算機中所有文件和文件夾的管理,在其中用戶還可以訪問連接到計算機的手機、U盤、攝像頭、數碼相機和其他硬件的有關信息。
(3)“網絡”圖標。雙擊此圖標,可以打開“網絡”窗口,在該窗口中可以查看和訪問局域網中的計算機。
(4)“回收站”圖標。雙擊此圖標,可以打開“回收站”窗口,在該窗口中可以查看、還原或徹底刪除用戶已刪除的文件和文件夾。
(5)“控制面板”圖標。雙擊此圖標,可以打開“控制面板”窗口,在該窗口中可以查看并操作基本的系統設置,如添加/刪除軟件、設置用戶賬戶。
2. 認識任務欄
任務欄左端是“開始”按鈕,從左往右依次是搜索欄和“語音助手Cortana”按鈕、“任務視圖”按鈕、“Edge瀏覽器”圖標和通知區域。當打開某一程序后,在任務欄上會顯示該程序的任務欄圖標,程序關閉,該圖標消失。
(1) “開始”按鈕。單擊此按鈕,可以打開“開始”菜單。通過“開始”菜單可以啟動應用程序、對 Windows10系統進行環境設置、關閉和重啟計算機等。
(2)搜索欄。在搜索欄中輸入文件名、應用程序名或其他內容,能迅速獲得本地和網絡搜索結果。
(3) “語音助手Cortana”按鈕。單擊此按鈕,在打開的界面中可以進行語音搜索。
(4)“任務視圖”按鈕。單擊此按鈕,會顯示所有已打開窗口的縮略圖,單擊某一窗口縮略圖可以將其切換為當前窗口。
(5) “Edge 瀏覽器”圖標。單擊此圖標,將打開 Edge 瀏覽器。
(6)通知區域。包括時鐘,揚聲器、網絡、輸入法及一些程序通知的圖標。單擊、雙擊或右擊通知區域中的圖標可以分別執行不同的操作。
(7)已啟動程序任務欄圖標。Windows 10系統默認會分組顯示程序的任務欄圖標,將鼠標指針移動到“圖標”上時,會顯示分組內不同窗口的預覽圖,單擊預覽圖可以快速切換至該程序窗口。右擊“圖標”,會彈出快捷菜單,其中列出了當前可以對該程序窗口進行的操作、最近使用的文檔或常用的對象,用戶可以選擇所需項進行快速操作。
3.認識窗口
單擊或雙擊某一項目或文件夾,即可打開對應的窗口。Windows 10系統中的各種窗口之回有所差別,但大鄉數窗口都有共同的組成元素。雙擊桌面上的“此電腦”圖標,打開“此電腦”窗口。下面以該窗口為例,介紹窗口的組成元素。
(1) 標題欄。標題欄位于窗口頂端,顯示當前目錄的位置,其右端為窗口的“最小化”“最大化/還原”“關閉”按鈕,單擊相應的按鈕可以對窗口執行對應的操作。
(2)快速訪問工具欄。快速訪問工具欄用于顯示用戶常用的命令,默認只顯示“屬性”和“新建文件夾”兩個命令,用戶可以單擊快速訪問工具欄右側的下拉按鈕,從展開的下拉列表中勾選需要在快速訪問工具欄上出現的命令選項,將其顯示在快速訪問工具欄上。
(3)選項卡標簽。選項卡標簽用于分類存放與當前窗口相關的命令。例如,在“此電腦”窗口中,“文件”選項卡中是一些與文件操作相關的命令;“查看”選項卡中則是一些與瀏覽視圖、項目布局、項目顯示等相關的命令。單擊選項卡標簽右側的 按鈕可以展開功能區(用于顯示當前選項卡包含的命令),再次單擊可最小化功能區。
(4)控制按鈕區。控制按鈕區的主要功能是實現目錄的后退??、前進??或返回上級目錄??。
(5)地址欄。地址欄用于顯示當前目錄的路徑信息,單擊某一級目錄即可切換到該目錄;用戶還可以在地址欄中輸入要查看的目錄的路徑信息,按“Enter”鍵訪問該目錄。
(6)搜索欄。搜索欄用于在當前目錄中搜索文件。
(7)導航窗格。導航窗格可以用來查找文件和文件夾,還可以在其中將項目直接移動或復制到目標位置。如果在已打開的窗口中沒有看到導航窗格,可以單擊“查看”選項卡“窗格”組中的“導航窗格”按鈕,在展開的列表中選擇“導航窗格”選項。
(8)窗口工作區。窗口工作區用于顯示當前窗口的內容或執行某項操作后顯示的內容。若窗口工作區的內容較多,將在其右側和下方出現滾動條,通過拖動滾動條可以查看其他未顯示的內容。
(9)狀態欄。狀態欄會根據用戶選擇的內容,顯示當前窗口中的項目數量、已選擇項目數量、選中文件的大小等屬性信息:狀態欄右端顯示有“列表”按鈕 和“縮略圖”按鈕,單擊某一按鈕,即可切換到對應的視圖模式。
除了最小化、最大化/還原和關閉窗口的操作外,常用的窗口操作還包括如下幾項:
(1) 窗口的移動。將鼠標指針移至窗口標題欄的空白區域,然后按住鼠標左鍵并拖動,到合適位置后釋放鼠標左鍵即可。注意,最大化的窗口不能移動。
(2) 窗口最小化后還原。最小化窗口后,窗口將縮小為圖標并顯示在任務欄上,要將圖標還原成窗口,只需單擊該圖標即可。
(3)窗口大小的改變。將鼠標指針移至窗口的左或右(上或下)側邊框,待鼠標指針變為左右雙向箭頭??。(或上下雙向箭頭 ??)形狀時,按住鼠標左鍵不放并左右(或上下)拖動,到合適大小后,釋放鼠標左鍵,可以調整窗口的寬度(或高度);要同時改變窗口的寬度和高度,可以將鼠標指針移到窗口的任意一個角上,當鼠標指針變為傾斜雙向箭頭時,按住鼠標左鍵并拖動,到合適大小后,釋放鼠標左鍵即可。
4. 認識快捷菜單
在Windows 10系統桌面、窗口等的不同位置右擊,會彈出一個快捷菜單,其中列出了一些與當前所選對象相關的快捷操作,為右擊桌面空白區域彈出的快捷菜單,選擇快捷菜單中的某一項,即可執行對應的操作。例如,選擇“個性化”選項,可以打開“設置”窗口,在該窗口中可以對計算機進行更換桌面背景、調整圖標大小等個性化設置。
5. 認識對話框
對話框是 Windows 10 系統中的一種特殊窗口,用于對所操作項目進行信息顯示、獲得用戶響應或設置參數等操作。對話框的大小、形狀各異,但基本上都是一組控制命令的集合。下面在“此電腦”窗口中單擊“查看”選項卡中的“選項”按鈕,打開 “文件夾選項”對話框,以該對話框為例,介紹對話框的組成。
(1)標題欄。左端顯示對話框的名稱,右端是“關閉”按鈕,單擊它可以關閉對話框。
(2)選項卡。當對話框中的內容較多時,通常采用選項卡的方式,將內容歸類到不同的選項卡中。
(3)下拉列表框。包含某些設置的可選擇項。下拉列表框只顯示一個當前選項,需單擊其右側的三角按鈕回打開下拉列表,再選擇其他選項。
(4)復選框。用于設定或取消某些項目,單擊 可以選中當前項,此時方框變為形狀 ,再次單擊 可以取消選擇。
(5)單選鈕。通常由多個單選鈕組成一組,只能選擇其中之一,從而完成某種設置。
(6)命令按鈕。在對話框中有許多按鈕,單擊這些按鈕可以打開某個對話框或應用相關設置。幾平所有的對話框中都有“確定”“取消”“應用”等按鈕,其中單擊“確定”按鈕可以使對話框中所做的設置生效并關閉對話框,單擊“應用”按鈕可以使設置生效而不關閉對話框,單擊“取消”按鈕將取消操作并關用對話框。
除了以上各元素外,Windows 10 系統的對話框中還有編輯框(用于編輯參數值)、幫助按鈕(單擊此按鈕可以顯示對應項目的幫助信息)等元素。