Microsoft a remediat o vulnerabilitate zero-day Windows care a fost exploatată activ în atacuri timp de optsprezece luni pentru a lansa scripturi malware evitând caracteristicile de securitate încorporate.
Defectul, denumit CVE-2024-38112, este o problemă de spoofing MHTML de severitate ridicată, remediată în cadrul actualizărilor de securitate Patch Tuesday din iulie 2024.
Haifei Li de la Check Point Research a descoperit vulnerabilitatea și a dezvăluit-o Microsoftului în mai 2024.
Cu toate acestea, într-un raport realizat de Li, cercetătorul notează că au fost descoperite eșantioane care exploatează această vulnerabilitate încă din ianuarie 2023.
Haifei Li a descoperit că actorii de amenințare distribuie fișiere Windows Internet Shortcut (.url) pentru a falsifica fișiere care par legitime, cum ar fi PDF-uri, dar care descarcă și lansează fișiere HTA pentru a instala malware de furt de parole.
Un fișier de scurtătură pe internet este pur și simplu un fișier text care conține diverse setări de configurare, cum ar fi ce iconiță să arate, ce link să deschidă la dublu-clic și alte informații. Când este salvat sub forma unui fișier .url și dublu-clicat, Windows va deschide URL-ul configurat în browserul web implicit.
Cu toate acestea, actorii de amenințare au descoperit că pot forța Internet Explorer să deschidă URL-ul specificat folosind handlerul URI mhtml în directiva URL, așa cum este arătat mai jos.
MHTML este un fișier „MIME Encapsulation of Aggregate HTML Documents”, o tehnologie introdusă în Internet Explorer care încorporează o întreagă pagină web, inclusiv imaginile sale, într-un singur arhivă.
Când URL-ul este lansat cu handlerul mhtml: URI, Windows îl lansează automat în Internet Explorer în locul browserului implicit.
Potrivit cercetătorului de vulnerabilități Will Dormann, deschiderea unei pagini web în Internet Explorer oferă beneficii suplimentare actorilor de amenințare, deoarece există mai puține avertismente de securitate la descărcarea fișierelor malware.
„În primul rând, IE vă va permite să descărcați un fișier .HTA de pe internet fără avertisment”, a explicat Dormann pe Mastodon.
„Apoi, odată ce este descărcat, fișierul .HTA va locui în directorul INetCache, dar NU va avea explicit un MotW. În acest moment, singura protecție pe care o are utilizatorul este un avertisment că „un site web” dorește să deschidă conținut web folosind un program de pe computer.”
„Fără a spune ce site web este. Dacă utilizatorul crede că se încrede în „acest” site web, acesta este momentul când are loc execuția codului.”
Practic, actorii de amenințare profită de faptul că Internet Explorer este încă inclus implicit în Windows 10 și Windows 11.
În ciuda anunțului Microsoft privind retragerea sa acum aproximativ doi ani și înlocuirea sa cu Edge în toate funcțiile practice, browserul învechit poate fi încă invocat și exploatat în scopuri malitioase.
Check Point spune că actorii de amenințare creează fișiere de scurtătură pe internet cu indexuri de iconițe pentru a părea că sunt linkuri către un fișier PDF.
Când sunt apăsate, pagina web specificată va fi deschisă în Internet Explorer, care încearcă automat să descarce ceea ce pare a fi un fișier PDF, dar este de fapt un fișier HTA.
Cu toate acestea, actorii de amenințare pot ascunde extensia HTA și pot face să pară că se descarcă un PDF prin umplerea numelui de fișier cu caractere Unicode astfel încât extensia .hta să nu fie afișată, așa cum este arătat mai jos.
Când Internet Explorer descarcă fișierul HTA, întreabă dacă doriți să-l salvați sau să-l deschideți. Dacă un utilizator decide să deschidă fișierul crezând că este un PDF, deoarece nu conține Marca Web, acesta se va lansa doar cu o alertă generică despre conținutul care se deschide de pe un site web.
Deoarece ținta se așteaptă să descarce un PDF, utilizatorul poate să aibă încredere în această alertă și fișierul este permis să ruleze.
Check Point Research a declarat pentru BleepingComputer că permiterea rulării fișierului HTA va instala malware-ul de furt de parole Atlantida Stealer pe computer.
Odată executat, malware-ul va fura toate informațiile de autentificare stocate în browser, cookie-uri, istoricul browserului, portofele de criptomonede, informații de autentificare Steam și alte date sensibile.
Microsoft a remediat vulnerabilitatea CVE-2024-38112 prin anularea URI-ului mhtml: din Internet Explorer, astfel încât acum se deschide în Microsoft Edge în schimb.
CVE-2024-38112 este similar cu CVE-2021-40444, o vulnerabilitate zero-day care a abuzat de MHTML pe care hackerii nord-coreeni au exploatat-o pentru a lansa atacuri împotriva cercetătorilor de securitate în 2021.
Microsoft Patch Tuesday iulie 2024 remediază 142 de probleme, inclusiv 4 zero-day-uri
Grupul de ransomware Black Basta legat de atacurile zero-day Windows
Check Point lansează o remediere de urgență pentru zero-day-ul VPN exploatat în atacuri
Microsoft remediează zero-day-ul Windows exploatat în atacurile de malware QakBot
Actualizarea de urgență Google Chrome remediază al 6-lea zero-day exploatat în 2024
Leave a Reply