Microsoft 发现 Windows 中存在安全漏洞。列为 CVE-2024-38112,该漏洞允许攻击者部署恶意脚本通过绕过操作系统的所有安全机制在计算机上进行攻击。 Check Point Research 是这一发现的幕后黑手。
另请阅读:微软承认最新的俄罗斯网络攻击比预期更严重
缺陷迫使 Windows 打开 Internet Explorer
具体来说,攻击是基于Windows Internet 快捷方式文件,Windows 操作系统用来创建网址快捷方式的文件。这些文件伪装成随机文档,例如 PDF。当用户点击它时,欺骗性文件将在网络浏览器中打开该 URL。
通过利用该缺陷,攻击的发起者可以强制打开文件互联网浏览器而不是其他网络浏览器,例如 Chrome、Brave 或 Firefox。该浏览器被认为已经过时,防止下载恶意软件的安全措施较少。然后,该站点将下载并打开 HTA(HTML 应用程序)文件,即用于启动 HTML 应用程序的可执行文件。
当 Internet Explorer 下载 HTA 文件时,它会在屏幕上显示两个选项:保存或打开文件。如果用户选择打开它,该文件将启动。尽管如此,警告仍会指示浏览器正在打开网站的内容。确信可以打开简单无害的 PDF 的互联网用户将同意启动 HTA 文件。正是这个伪装成 PDF 的文件会导致恶意代码的执行。黑客利用“一种 IE 伎俩,欺骗受害者以为他们正在打开 PDF 文件,而实际上他们正在下载并运行危险的 .hta 应用程序”。
事实上,这次攻击是基于这样一个事实:Internet Explorer 仍然默认存在于 Windows 10 和 Windows 11 的代码中。根据记录,该浏览器已被逐渐被Microsot Edge取代,但事实证明可以通过利用该缺陷来调用它。正如 Check Point 所解释的那样,Internet Explorer 是“过时的网络浏览器”,其安全性较差是众所周知的。默认情况下,用户无法打开它的链接。在与研究人员联系后,微软指出“从技术上讲,IE 仍然是 Windows 操作系统的一部分”,即使它已被停用并退役。
该漏洞已被利用超过 18 个月
微软承认,该漏洞已被网络犯罪分子积极利用超过 18 个月。正如 Check Point Research 所示,利用该漏洞的第一个痕迹可以追溯到 2023 年 1 月。研究人员表示,该漏洞主要用于传播 Atlantida Stealer,这是一种旨在策划数据盗窃的恶意软件。它旨在窃取浏览器、cookie、历史记录、加密钱包密钥或 Steam 凭证中存储的所有凭证。
为了保护用户,微软修复了该缺陷。美国出版商确实在其中包含了修复程序2024 年 7 月补丁星期二。此次更新共修复了 142 个缺陷,其中包括 4 个被视为零日漏洞的漏洞,即开发人员不知道但被黑客利用的漏洞。我们显然建议您立即安装该补丁。
来源 : 检查点
