مایکروسافت یک آسیبپذیری Zero-day ویندوز را که بهطور فعال در حملاتی به مدت هجده ماه به منظور اجرای اسکریپتهای مخرب با دور زدن ویژگیهای امنیتی داخلی مورد سوء استفاده قرار گرفته بود، رفع کرد. این نقص که با شناسه CVE-2024-38112 ردیابی شده، یک مشکل جعل MHTML با شدت بالا است که در بهروزرسانیهای پچ (Patch) امنیتی در جولای ۲۰۲۴ برطرف شد.
هایفی لی از Check Point Research این آسیبپذیری را کشف کرد و در ماه می ۲۰۲۴ به مایکروسافت گزارش داد. با این حال، در گزارشی توسط لی، محقق اشاره میکند که آنها نمونههایی از سوءاستفاده از این نقص را از ژانویه ۲۰۲۳ کشف کردهاند.
Internet Explorer از دسترس خارج شد، اما نه کاملاً
هایفی لی کشف کرد که بازیگران تهدید، فایلهای میانبر اینترنت ویندوز (.url) را برای جعل فایلهای به ظاهر قانونی مانند PDF توزیع کردهاند، اما آنها فایلهای HTA را دانلود و اجرا میکنند تا بدافزارِ سرقت رمز عبور (password-stealing malware) را نصب کنند.
یک فایل میانبر اینترنت در واقع یک فایل متنی است که شامل تنظیمات مختلفی مانند آیکونی که باید نمایش داده شود، لینکی که باید با دوبار کلیک باز شود و اطلاعات دیگر است. وقتی به صورت فایل .url ذخیره شود و دو بار کلیک شود، ویندوز لینک تنظیم شده را در مرورگر وب پیشفرض باز میکند.
اما، بازیگران تهدید کشف کردند که میتوانند با استفاده از URI handler mhtml: در دستور URL، Internet Explorer را مجبور به باز کردن URL مشخص شده کنند.
MHTML یک فایل ‘MIME Encapsulation of Aggregate HTML Documents’ است، تکنولوژی که در Internet Explorer معرفی شد و یک صفحه وب کامل، از جمله تصاویر آن را در یک آرشیو واحد کپسوله میکند.
وقتی URL با URI mhtml: اجرا شود، ویندوز بهطور خودکار آن را در Internet Explorer به جای مرورگر پیشفرض باز میکند.
به گفته محقق آسیبپذیری ویل دورمان، باز کردن یک صفحه وب در Internet Explorer مزایای اضافی برای بازیگران تهدید دارد، زیرا هشدارهای امنیتی کمتری هنگام دانلود فایلهای مخرب وجود دارد.
دورمان در Mastodon توضیح داد: “اول، Internet Explorer به شما اجازه میدهد که یک فایل HTA را بدون هشدار از اینترنت دانلود کنید. سپس، هنگامی که دانلود شد، فایل HTA در دایرکتوری INetCache ذخیره میشود، اما به طور صریح دارای MotW نخواهد بود. در این نقطه، تنها حفاظت کاربر یک هشدار است که “یک وبسایت” میخواهد محتواهای وب را با استفاده از یک برنامه بر روی کامپیوتر باز کند. بدون اینکه بگوید کدام وبسایت است. اگر کاربر باور کند که به این وبسایت اعتماد دارد، در این هنگام اجرای کد رخ میدهد.”
اساساً، بازیگران تهدید از این واقعیت سوءاستفاده میکنند که Internet Explorer به طور پیشفرض همچنان در ویندوز ۱۰ و ویندوز ۱۱ موجود است.
با وجود اینکه مایکروسافت حدود دو سال پیش اعلام کرد که بازنشسته شده و Microsoft edge در همه عملکردهای عملی جایگزین آن شده است، مرورگر قدیمی همچنان میتواند فراخوانی و برای اهداف مخرب استفاده شود.
Check Point میگوید که بازیگران تهدید فایلهای میانبر اینترنت را با آیکونهای شاخص ایجاد میکنند تا به نظر برسد که لینک به یک فایل PDF است.
هنگام کلیک، صفحه وب مشخص شده در Internet Explorer باز میشود که بهطور خودکار تلاش میکند چیزی که به نظر میرسد یک فایل PDF است اما در واقع یک فایل HTA است را دانلود کند.
با این حال، بازیگران تهدید میتوانند پسوند HTA را مخفی کنند و بهنظر برسد که یک فایل PDF در حال دانلود است با پر کردن نام فایل با کاراکترهای Unicode بهطوری که پسوند .hta نمایش داده نشود، همانطور که در زیر نشان داده شده است.
هنگامی که Internet Explorer فایل HTA را دانلود میکند، میپرسد آیا میخواهید آن را ذخیره یا باز کنید. اگر کاربر تصمیم بگیرد فایل را باز کند با این فکر که یک PDF است، چون دارای علامت وب نیست، با فقط یک هشدار عمومی در مورد باز کردن محتوا از یک وبسایت اجرا میشود.
چون هدف انتظار دارد یک PDF دانلود کند، کاربر ممکن است به این هشدار اعتماد کند و فایل اجازه اجرا پیدا کند.
Check Point Research به BleepingComputer گفت که اجازه اجرای فایل HTA بدافزار سرقت رمز عبور Atlantida Stealer را بر روی کامپیوتر نصب خواهد کرد.
پس از اجرا، بدافزار تمام اعتبارنامههای ذخیره شده در مرورگر، کوکیها، تاریخچه مرورگر، کیف پولهای ارز دیجیتال، اعتبارنامههای Steam و سایر دادههای حساس را سرقت خواهد کرد.
مایکروسافت آسیبپذیری CVE-2024-38112 را با لغو ثبت URI mhtml: از Internet Explorer برطرف کرده است، بهطوری که اکنون در مایکروسافت Microsoft edge باز میشود.
چگونه از حمله سایبری جلوگیری کنیم؟
منبع: www.bleepingcomputer.com
جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.
با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.