正文

Win10/11 危!退役 2 年,IE 浏览器不死,反被曝出高危漏洞?

admin
admin V管理员 /0 评论 /97 阅读
0809
此篇文章发布距今已超过105天,您需要注意文章的内容或图片是否可用!

谁能想到,早在 2022 年 6 月 15 日正式退役的 IE 浏览器,近日还能因漏洞被推上风口浪尖?

全球网络安全解决方案提供商 Check Point Research(简称为 CPR)最近发现:有攻击者在过去 18 个月里,通过构建特殊的 Windows Internet 快捷方式文件(即 .url),引诱用户点击并调用 IE 浏览器来访问攻击者控制的 URL,以此进行恶意攻击。

据了解,这种漏洞甚至可以绕过 Windows 10、Windows 11 系统的安全防护。

1、强制调用 IE 浏览器打开 URL

据悉,该漏洞由 CPR 研究人员发现,追踪编号为 CVE-2024-38112,微软方面将其描述为 Windows MSHTML 平台欺骗漏洞,自 2023 年 1 月以来就一直在被黑客利用:“我们发现的恶意 .url 样本最早可以追溯到 2023 年 1 月(一年多前),最晚可以追溯到 2024 年 5 月 13 日。这表明,网络罪犯使用这种攻击技术已经有一段时间了。”

通过对攻击过程的详细分析,CPR 研究人员将该漏洞的实现分解为两个步骤:

  • 第一步是利用“mhtml”技巧,使得攻击者可调用已退役的 IE 而非更安全的 Chrome/Edge。

  • 第二步是通过某种 IE 技巧隐藏 .hta 这个扩展名,让受害者以为他们只是打开了一个 PDF 文件——但实际上,他们正在下载并启动一个恶意的 .hta 应用程序。

那么接下来,我们就先了解一下这个能在 Windows 中调用 IE 浏览器的“mhtml”技巧。

一般情况下,Internet 快捷方式文件(即 .url)是一个文本文件,里面包含各种配置信息,如显示什么图标、双击时打开什么链接等。将其保存为 .url 文件并双击后,Windows 会在默认浏览器中打开这个 URL。

然而,攻击者发现可以在 URL 指令中使用 mhtml: URI 处理程序,以此强制用 IE 浏览器打开指定的 URL。以下面这个恶意 .url 样本为例:

可以看到,.url 文件的最后几行字符串指向 Microsoft Edge 应用程序文件中的一个自定义图标。乍一看,它似乎指向一个 PDF 文件,但实际上并非如此。CPR 研究人员发现这个关键字的值与通常的关键字有很大不同:普通 .url 文件的参数类似于 URL=https://www.google.com;但这个恶意样本的值是 URL=mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html。

它使用了一个特殊的前缀“mhtml:”。简单说明一下 MHTML,这是一种“聚合 HTML 文档的 MIME 封装”文件,是 IE 浏览器中引入的一种存储文件技术,可将包括图像在内的整个网页封装成一个单一档案。

CPR 研究人员指出,这样的恶意 .url 文件在 Windows 11 中会显示为一个指向 PDF 文件的链接:

如果受害者想打开 PDF,双击这个 .url 文件,然后便会弹出下面这个来自 IE 浏览器的窗口:

没错,攻击者使用 mhtml: URI 启动 URL 后,Windows 会自动在 IE 浏览器中启动 URL,而不是默认浏览器。如文章开头所说,IE 浏览器早在 2022 年就退出历史舞台了,在典型的 Windows 10/11 操作系统上,因其安全性不足,用户一般无法直接用 IE 去访问网站。

不过有一点需要明确:尽管 IE 已被微软宣布“退役”,但从技术上讲,IE 仍是 Windows 系统的一部分,IE 使用的专有浏览器引擎 MSHTML (Trident)也仍包含在操作系统中,微软计划至少支持该引擎到 2029 年。

因此,攻击者使用“mhtml”技巧,让本意想打开 PDF 的用户,实际上正在用不安全且过时的 IE 访问攻击者控制的网站,尤其在 IE 下载恶意文件时安全警告也相对较少。

2、打开一个伪装成 PDF 的恶意 .hta 文件

既然打开的不是 PDF,那受害者通过 IE 打开的到底是什么呢?

根据 IE 浏览器的弹出窗口显示,它要求用户打开一个名为 .Books_A0UJKO.pdf 的 PDF 文件:

可一旦点击了这个“Open”(默认选项),紧接着又会跳出另一个窗口:IE 保护模式下的警告提示。

到了这一步,如果用户一直以为自己打开的不过是个 PDF,大概率会忽略这个警告,那么打开的就会是一个伪装成 PDF 的恶意 .hta 文件。这是一个从 HTML 文档中调用的可执行程序,通过一个名为 Microsoft HTML Application Host(mshta.exe)的工具在 Windows 上运行。

CPR 研究人员解释道:“如果我们仔细观察 HTTP 流量,就会发现在字符串末尾有许多不可打印的字符——最后是 .hta 字符串,这才是真正的(危险的)扩展名。”

但这个 .hta 字符串被隐藏了:用户看不到真实的扩展名,所以无防备地继续点击文件,根本不知道自己其实正在下载并启动一个危险的 .hta 应用程序。

3、一定要警惕从不可信来源发送的 .url 文件

据 CPR 研究人员证实,这个漏洞所用的技巧在 Windows 10/11 操作系统上均可实现。

于是,CPR 方面在 2024 年 5 月 16 日向微软安全响应中心(MSRC)报告了该漏洞。此后,双方一直就此事密切合作,终于在 7 月 9 日发布了微软官方补丁(CVE-2024-38112)。

通用漏洞评分系统(CVSS)来看,CVE-2024-38112 的评分为 7.5(满分 10 分),属于重要漏洞攻击者需采取额外行动才能确保成功利用该漏洞。而不论是微软还是 CPR,都强烈建议 Windows 用户尽快更新该补丁,因为根据调查显示该漏洞已被黑客利用一年多了。

最后,CPR 也给出了重要提醒:“对于相关的 Windows 用户,我们建议一定要警惕从不可信来源发送的 .url 文件,毕竟这种类型的攻击需要一些用户交互(如忽略警告弹窗)才能成功。”

参考链接:

https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet-shortcut-file-to-lure-victims-cve-2024-38112/

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112

---END---


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om