微軟公司在 7 月補(bǔ)丁星期二發(fā)布的 Windows 10�����、Windows 11 系統(tǒng)累積更新中�,修復(fù)了追蹤編號(hào)為 CVE-2024-38112 的零日漏洞。
該零日漏洞由 Check Point Research 的安全專家李海飛(Haifei Li����,音譯)于 2023 年 1 月發(fā)現(xiàn),是一個(gè)高度嚴(yán)重的 MHTML 欺騙問(wèn)題���,有證據(jù)表明有黑客在過(guò)去 18 個(gè)月里�,利用該漏洞發(fā)起惡意攻擊����,可以繞過(guò) Windows 10、Windows 11 系統(tǒng)的安全功能���。
該專家發(fā)現(xiàn)網(wǎng)絡(luò)攻擊者通過(guò)分發(fā) Windows Internet 快捷方式文件(.url)���,以欺騙 PDF 等看起來(lái)合法的文件,用戶一旦點(diǎn)開(kāi)這些文件�����,就會(huì)下載并啟動(dòng) HTA 以安裝密碼竊取惡意軟件。
Internet 快捷方式文件只是一個(gè)文本文件�����,其中包含各種配置設(shè)置��,如顯示什么圖標(biāo)���、雙擊時(shí)打開(kāi)什么鏈接等信息�。保存為 .url 文件并雙擊后�����,Windows 將在默認(rèn)網(wǎng)絡(luò)瀏覽器中打開(kāi)配置的 URL�����。
不過(guò)攻擊者發(fā)現(xiàn)可以通過(guò)在 URL 指令中使用 mhtml: URI 處理程序����,來(lái)強(qiáng)制 Internet Explorer 打開(kāi)指定的 URL��,如下圖所示:
注:MHTML 是一種 "聚合 HTML 文檔的 MIME 封裝" 文件,是 Internet Explorer 中引入的一種技術(shù)��,可將包括圖像在內(nèi)的整個(gè)網(wǎng)頁(yè)封裝成一個(gè)單一的檔案�。
攻擊者使用 mhtml: URI 啟動(dòng) URL 后,Windows 會(huì)自動(dòng)在 Internet Explorer 中啟動(dòng) URL�,而不是默認(rèn)瀏覽器。
漏洞研究人員 Will Dormann 稱���,在 Internet Explorer 中打開(kāi)網(wǎng)頁(yè)會(huì)給攻擊者帶來(lái)額外的好處�,下載惡意文件時(shí)安全警告較少��。
盡管微軟早在兩年前就宣布停止支持該瀏覽器����,并以 Edge 代替其所有實(shí)用功能,但這款過(guò)時(shí)的瀏覽器仍可被惡意調(diào)用和利用���。
