Microsoft 發現 Windows 存在安全漏洞。列為 CVE-2024-38112,該漏洞允許攻擊者部署惡意腳本透過繞過作業系統的所有安全機制在電腦上進行攻擊。 Check Point Research 是這項發現的幕後黑手。
另請閱讀:微軟承認最新的俄羅斯網路攻擊比預期更嚴重
缺陷迫使 Windows 開啟 Internet Explorer
具體來說,攻擊是基於Windows Internet 捷徑文件,Windows 作業系統用來建立網址捷徑的檔案。這些文件偽裝成隨機文檔,例如 PDF。當用戶點擊它時,欺騙性文件將在網頁瀏覽器中開啟該 URL。
透過利用該缺陷,攻擊的發動者可以強制開啟文件網際網路瀏覽器而不是其他網頁瀏覽器,例如 Chrome、Brave 或 Firefox。該瀏覽器被認為已經過時,防止下載惡意軟體的安全措施較少。然後,該網站將下載並開啟 HTA(HTML 應用程式)文件,即用於啟動 HTML 應用程式的可執行檔。
當 Internet Explorer 下載 HTA 檔案時,它會在螢幕上顯示兩個選項:儲存或開啟檔案。如果使用者選擇開啟它,該檔案將啟動。儘管如此,警告仍會指示瀏覽器正在開啟網站的內容。確信可以開啟簡單無害的 PDF 的網路使用者將同意啟動 HTA 檔案。正是這個偽裝成 PDF 的檔案會導致惡意程式碼的執行。駭客利用“一種 IE 伎倆,欺騙受害者以為他們正在打開 PDF 文件,而實際上他們正在下載並運行危險的 .hta 應用程式”。
事實上,這次攻擊是基於這樣一個事實:Internet Explorer 仍然預設存在於 Windows 10 和 Windows 11 的程式碼中。逐漸被Microsot Edge取代,但事實證明可以透過利用該缺陷來調用它。正如 Check Point 所解釋的那樣,Internet Explorer 是“過時的網頁瀏覽器”,其安全性較差是眾所周知的。預設情況下,用戶無法打開它的連結。在與研究人員聯繫後,微軟指出“從技術上講,IE 仍然是 Windows 作業系統的一部分”,即使它已停用並退役。
該漏洞已被利用超過 18 個月
微軟承認,該漏洞已被網路犯罪分子積極利用超過 18 個月。正如 Check Point Research 所示,利用該漏洞的第一個痕跡可以追溯到 2023 年 1 月。它旨在竊取瀏覽器、cookie、歷史記錄、加密錢包金鑰或 Steam 憑證中儲存的所有憑證。
為了保護用戶,微軟修復了這個缺陷。美國出版商確實在其中包含了修復程序2024 年 7 月補丁星期二。此次更新共修復了 142 個缺陷,其中包括 4 個被視為零日漏洞的漏洞,即開發人員不知道但被駭客利用的漏洞。我們顯然建議您立即安裝該補丁。
來源 : 檢查點