Корпорація Microsoft виправила вразливість нульового дня Windows, яка протягом 18 місяців активно використовувалася під час атак для запуску шкідливих сценаріїв в обхід вбудованих функцій безпеки. Про це повідомляє BleepingComputer.
Недолік, відстежуваний як CVE-2024-38112, є серйозною проблемою спуфінгу MHTML, виправленою під час оновлень системи безпеки у липні 2024 року.
Хайфей Лі із Check Point Research виявив вразливість і повідомив про неї Microsoft у травні 2024 року. Дослідник зазначив, що вони виявили зразки, які використовують цей недолік, ще в січні минулого року.
Хайфей Лі виявив, що зловмисники поширюють файли ярликів Windows (.url) для підробки легітимних файлів (наприклад, PDF-файлів), але завантажують і запускають файли HTA для встановлення зловмисного програмного забезпечення для крадіжки паролів.
Файл ярлика Інтернету — це просто текстовий файл, який містить різні параметри конфігурації. Наприклад, яку піктограму відображати, яке посилання відкривати при подвійному клацанні та іншу інформацію. Після збереження у файлі .url і подвійного клацання Windows відкриє налаштовану URL-адресу у веббраузері за замовчуванням.
Проте зловмисники виявили, що вони можуть змусити Internet Explorer відкрити вказану URL-адресу за допомогою обробника mhtml: URI у директиві URL-адреси, як показано нижче.
MHTML — це файл «MIME-інкапсуляція сукупних документів HTML», технологія, представлена в Internet Explorer, яка інкапсулює всю вебсторінку, включно з її зображеннями, в єдиний архів.
Коли URL-адреса запускається з mhtml: URI, Windows автоматично запускає її в Internet Explorer замість браузера за замовчуванням.
За словами дослідника вразливостей Вілла Дорманна, відкриття вебсторінки в Internet Explorer надає додаткові переваги для загроз, оскільки під час завантаження шкідливих файлів менше попереджень безпеки.
«По-перше, IE дозволить вам завантажити файл .HTA з Інтернету без попередження. Далі, після завантаження файл .HTA зберігатиметься в каталозі INetCache, але він не матиме явного MotW. На цьому етапі єдиний захист, який має користувач, — це попередження про те, що вебсайт хоче відкрити вебконтент за допомогою програми на комп’ютері. Не кажучи, який це вебсайт. Якщо користувач вважає, що він довіряє цьому вебсайту, саме тоді відбувається виконання коду», — пояснив Дорманн на Mastodon.
По суті, зловмисники користуються тим фактом, що Internet Explorer все ще включено за замовчуванням у Windows 10 і Windows 11.
Незважаючи на те, що Microsoft оголосила про припинення роботи приблизно 2 роки тому, а Edge замінив її в усіх практичних функціях, застарілий браузер усе ще можна викликати та використовувати для зловмисних цілей.
У Check Point кажуть, що зловмисники створюють файли ярликів Інтернету з індексами значків, щоб вони відображалися як посилання на PDF-файл.
Після натискання зазначена вебсторінка відкриється в Internet Explorer, який автоматично спробує завантажити те, що виглядає як файл PDF, але насправді є файлом HTA.
Проте зловмисники можуть приховати розширення HTA і зробити вигляд, ніби завантажується PDF-файл, додавши ім’я файлу символами Unicode, щоб розширення .hta не відображалося, як показано нижче.
Коли Internet Explorer завантажує файл HTA, він запитує, чи бажаєте ви зберегти або відкрити його.
Якщо користувач вирішить відкрити файл, вважаючи, що це PDF-файл, оскільки він не містить позначки Інтернету, то він запуститься лише із загальним сповіщенням про відкриття вмісту із вебсайту.
Дозвіл на запуск файлу HTA встановить на комп’ютер зловмисне програмне забезпечення Atlantida Stealer, яке викрадає паролі.
Після запуску зловмисне програмне забезпечення викраде всі облікові дані, що зберігаються у вебпереглядачі, файли cookie, історію вебпереглядача, гаманці криптовалюти, облікові дані Steam та інші конфіденційні дані.
Корпорація Microsoft виправила вразливість CVE-2024-38112, скасувавши реєстрацію mhtml: URI в Internet Explorer, тому тепер вона відкривається в Microsoft Edge.
CVE-2024-38112 схожа на CVE-2021-40444 — вразливість нульового дня, яка зловживала MHTML. Північнокорейські хакери використовували її для здійснення атак на дослідників безпеки у 2021 році.
Раніше ProIT повідомляв, що патч Microsoft за липень 2024 року усуває 142 недоліки, зокрема 4 zero-days.
Читайте також на ProIT: Microsoft у Китаї забороняє Android: персонал змушують перейти на iPhone.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!