軟修復了 Windows 零日漏洞,該漏洞已被積極利用長達十八個月的攻擊,用于啟動惡意腳本并繞過內置安全功能。
該漏洞被追蹤為CVE-2024-38112,是一個高嚴重性的 MHTML 欺騙問題,已在2024 年 7 月補丁星期二安全更新期間修復。
Check Point Research 的 Haifei Li 發現了該漏洞,并于 2024 年 5 月將其披露給微軟。
然而,在李的一份報告中,研究人員指出,他們早在 2023 年 1 月就發現了利用此缺陷的樣本。
Haifei Li 發現威脅行為者一直在分發 Windows Internet 快捷方式文件 (.url) 來欺騙看似合法的文件(例如 PDF),但這些文件會下載并啟動 HTA 文件來安裝竊取密碼的惡意軟件。
Internet 快捷方式文件只是一個文本文件,其中包含各種配置設置,例如顯示什么圖標、雙擊時打開什么鏈接以及其他信息。當將其保存為 .url 文件并雙擊時,Windows 將在默認 Web 瀏覽器中打開配置的 URL。
然而,威脅行為者發現,他們可以使用 URL 指令中的 URI 處理程序強制 Internet Explorer 打開指定的 URL mhtml:,如下所示。
MHTML 是“聚合 HTML 文檔的 MIME 封裝”文件,這是 Internet Explorer 中引入的一項技術,它將整個網頁(包括其圖像)封裝到單個檔案中。
當使用 URI 啟動 URL 時mhtml:,Windows 會自動在 Internet Explorer 而不是默認瀏覽器中啟動它。
據漏洞研究員 Will Dormann 稱,使用 Internet Explorer 打開網頁可以為威脅行為者帶來額外的好處,因為下載惡意文件時的安全警告更少。
“首先,IE 會允許您在沒有任何警告的情況下從互聯網上下載 .HTA 文件,” Dormann在 Mastodon 上解釋道。
“接下來,一旦下載完成,.HTA 文件將位于 INetCache 目錄中,但它不會明確包含 MotW。此時,用戶唯一的保護就是收到警告,告知“某個網站”想要使用計算機上的程序打開網頁內容。”
“不用說是哪個網站。如果用戶認為他們信任“這個”網站,就會發生代碼執行。”
本質上,威脅行為者利用了 Windows 10 和 Windows 11 中仍然默認包含 Internet Explorer 這一事實。
盡管微軟大約兩年前就宣布該瀏覽器退役,并用 Edge 取代其所有實用功能,但該過時的瀏覽器仍然可以被調用和利用來用于惡意目的。
Check Point 表示,威脅行為者正在創建帶有圖標索引的 Internet 快捷方式文件,使其顯示為 PDF 文件的鏈接。
單擊后,指定的網頁將在 Internet Explorer 中打開,它會自動嘗試下載看似 PDF 文件但實際上是 HTA 文件的文件。
Internet Explorer 下載偽裝成 PDF 的 HTA 文件
但是,威脅行為者可以隱藏 HTA 擴展名,并通過使用 Unicode 字符填充文件名使其看起來像是正在下載的 PDF,這樣就不會顯示 .hta 擴展名,如下所示。
HTA 文件使用 Unicode 字符填充來隱藏 .hta 擴展
Internet Explorer 下載 HTA 文件時會詢問您是否要保存或打開它。如果用戶決定打開該文件,認為它是 PDF,由于它不包含 Web 標記,它將啟動時只顯示有關從網站打開內容的一般警告。
Internet Explorer 啟動 HTA 文件時 Windows 發出警告
由于目標希望下載 PDF,因此用戶可能會信任此警報,并允許文件運行。
Check Point Research 告訴 BleepingComputer,允許 HTA 文件運行會在計算機上安裝Atlantida Stealer 惡意軟件密碼竊取惡意軟件。
一旦執行,惡意軟件將竊取存儲在瀏覽器中的所有憑據、cookie、瀏覽器歷史記錄、加密貨幣錢包、Steam 憑據和其他敏感數據。
微軟已通過從 Internet Explorer 中取消注冊 URI 修復了 CVE-2024-38112 漏洞mhtml:,因此現在它可以在 Microsoft Edge 中打開。
CVE-2024-38112 與CVE-2021-40444類似 ,后者是一個濫用 MHTML 的零日漏洞,朝鮮黑客利用該漏洞在 2021 年發動了針對安全研究人員的攻擊。