CVE-2024-38112 是 Windows MSHTML 平台中的一个欺骗漏洞,Microsoft 周二发布了修复程序,可能已经被攻击者利用了一年多,Check Point 研究员 Haifei Li 透露。
“Check Point Research 最近发现,威胁行为者一直在使用新颖的(或以前未知的)技巧来引诱 Windows 用户进行远程代码执行。具体来说,攻击者使用了特殊的Windows Internet快捷方式文件(.url扩展名),当点击时,它将调用停用的Internet Explorer(IE)来访问攻击者控制的URL,“他解释说。
“通过使用 IE 而不是 Windows 上更安全的现代 Chrome/Edge 浏览器打开 URL,攻击者在利用受害者的计算机方面获得了显着优势,尽管该计算机运行的是现代 Windows 10/11 操作系统。”
利用零日漏洞
专门用于利用 CVE-2024-38112 的文件(例如 Books_A0UJKO.pdf.url)对大多数 Windows 用户来说看起来是一个良性文件,因为它会指向 Microsoft Edge 应用程序文件 (msedge.exe) 中的自定义图标——在本例中为 PDF 文件的图标。
文件 (ab) 使用 MHTML: URI 处理程序强制 Internet Explorer 打开攻击者控制的网站,攻击者可以从中进一步入侵。
“例如,如果攻击者有一个IE零日漏洞 – 与Chrome / Edge相比更容易找到,攻击者可以攻击受害者以立即获得远程代码执行,”研究人员指出。
“但是,在我们分析的样本中,威胁行为者没有使用任何IE远程代码执行漏洞。取而代之的是,他们在IE中使用了另一个技巧 – 据我们所知,以前可能没有公开 – 来诱骗受害者获得远程代码执行。
此技巧允许攻击者通过单击多个弹出警告来继续向打算打开文件的用户隐藏文件的真实性质;PDF文件实际上是一个恶意的HTA(HTML应用程序)文件,它执行并启用RCE。
IE 弹出窗口仅显示 PDF 扩展名(来源:Check Point Research)
“我们发现的恶意 .url 样本最早可以追溯到 2023 年 1 月(一年多前)到最晚的 2024 年 5 月 13 日(…这表明威胁行为者已经使用攻击技术很长一段时间了,“研究人员指出。
Microsoft 已在 5 月收到通知,现在终于发布了一个补丁,防止 URL 文件触发 MHTML:URI 处理程序。建议管理员快速实施。还建议用户在打开来自不受信任来源的 URL 文件时要小心,并且不应在没有仔细阅读的情况下浏览操作系统安全警告。
CISA 已将 CVE-2024-38112 添加到其已知利用漏洞 (KEV) 目录中,从而命令美国联邦民事行政部门机构在 7 月 30 日之前应用该补丁。
CVE-2024-38021:另一个需要尽快修补的漏洞
Morphisec研究人员警告说,CVE-2024-38021的补丁 – 一个可以远程利用并可能导致RCE的Microsoft Office漏洞 – 也应该尽早实施。
Microsoft已将该漏洞的严重性评级为“重要”,但他们认为,“鉴于其零点击性质(对于受信任的发件人)和缺乏身份验证要求,它应该被视为关键。
研究人员将于下个月在拉斯维加斯举行的 DEF CON 32 大会上发布 CVE-2024-38021 的技术细节和 PoC,因此请在此之前获取补丁。
发表评论
您还未登录,请先登录。
登录