微软修复了 Windows 零日漏洞,该漏洞已被积极利用长达十八个月的攻击,用于启动恶意脚本并绕过内置安全功能。
该漏洞被追踪为CVE-2024-38112,是一个高严重性的 MHTML 欺骗问题,已在2024 年 7 月补丁星期二安全更新期间修复。
Check Point Research 的 Haifei Li 发现了该漏洞,并于 2024 年 5 月将其披露给微软。
然而,在李的一份报告中,研究人员指出,他们早在 2023 年 1 月就发现了利用此缺陷的样本。
Internet Explorer 已消失,但事实并非如此
Haifei Li 发现威胁行为者一直在分发 Windows Internet 快捷方式文件 (.url) 来欺骗看似合法的文件(例如 PDF),但这些文件会下载并启动 HTA 文件来安装窃取密码的恶意软件。
Internet 快捷方式文件只是一个文本文件,其中包含各种配置设置,例如显示什么图标、双击时打开什么链接以及其他信息。当将其保存为 .url 文件并双击时,Windows 将在默认 Web 浏览器中打开配置的 URL。
然而,威胁行为者发现,他们可以使用 URL 指令中的 URI 处理程序强制 Internet Explorer 打开指定的 URL mhtml:,如下所示。
MHTML 是“聚合 HTML 文档的 MIME 封装”文件,这是 Internet Explorer 中引入的一项技术,它将整个网页(包括其图像)封装到单个档案中。
当使用 URI 启动 URL 时mhtml:,Windows 会自动在 Internet Explorer 而不是默认浏览器中启动它。
据漏洞研究员 Will Dormann 称,使用 Internet Explorer 打开网页可以为威胁行为者带来额外的好处,因为下载恶意文件时的安全警告更少。
“首先,IE 会允许您在没有任何警告的情况下从互联网上下载 .HTA 文件,” Dormann在 Mastodon 上解释道。
“接下来,一旦下载完成,.HTA 文件将位于 INetCache 目录中,但它不会明确包含 MotW。此时,用户唯一的保护就是收到警告,告知“某个网站”想要使用计算机上的程序打开网页内容。”
“不用说是哪个网站。如果用户认为他们信任“这个”网站,就会发生代码执行。”
本质上,威胁行为者利用了 Windows 10 和 Windows 11 中仍然默认包含 Internet Explorer 这一事实。
尽管微软大约两年前就宣布该浏览器退役,并用 Edge 取代其所有实用功能,但该过时的浏览器仍然可以被调用和利用来用于恶意目的。
Check Point 表示,威胁行为者正在创建带有图标索引的 Internet 快捷方式文件,使其显示为 PDF 文件的链接。
单击后,指定的网页将在 Internet Explorer 中打开,它会自动尝试下载看似 PDF 文件但实际上是 HTA 文件的文件。
Internet Explorer 下载伪装成 PDF 的 HTA 文件
但是,威胁行为者可以隐藏 HTA 扩展名,并通过使用 Unicode 字符填充文件名使其看起来像是正在下载的 PDF,这样就不会显示 .hta 扩展名,如下所示。
HTA 文件使用 Unicode 字符填充来隐藏 .hta 扩展
Internet Explorer 下载 HTA 文件时会询问您是否要保存或打开它。如果用户决定打开该文件,认为它是 PDF,由于它不包含 Web 标记,它将启动时只显示有关从网站打开内容的一般警告。
Internet Explorer 启动 HTA 文件时 Windows 发出警告
由于目标希望下载 PDF,因此用户可能会信任此警报,并允许文件运行。
Check Point Research 告诉 BleepingComputer,允许 HTA 文件运行会在计算机上安装Atlantida Stealer 恶意软件密码窃取恶意软件。
一旦执行,恶意软件将窃取存储在浏览器中的所有凭据、cookie、浏览器历史记录、加密货币钱包、Steam 凭据和其他敏感数据。
微软已通过从 Internet Explorer 中取消注册 URI 修复了 CVE-2024-38112 漏洞mhtml:,因此现在它可以在 Microsoft Edge 中打开。
CVE-2024-38112 与CVE-2021-40444类似 ,后者是一个滥用 MHTML 的零日漏洞,朝鲜黑客利用该漏洞在 2021 年发动了针对安全研究人员的攻击。