На этой неделе компания Microsoft устранила 0-day уязвимость в Windows. Как теперь сообщили эксперты Check Point, эта проблема активно использовалась хакерами в атаках на протяжении 18 месяцев и применялась для запуска вредоносных скриптов в обход встроенных средств защиты.
Уязвимость CVE-2024-38112 представляет собой проблему типа platform spoofing в Windows MSHTML. Эту проблему обнаружил специалист Check Point Research Хайфей Ли (Haifei Li) и уведомил о ней Microsoft в мае 2024 года. При этом в своем отчете о проблеме Ли отмечает, что образцы малвари, эксплуатирующей этот недостаток, были обнаружены еще в январе 2023 года.
По словам исследователя, злоумышленники распространяют файлы Windows Internet Shortcut (.url) для спуфинга легитимных файлов (например, PDF) и таким образом загружают и запускают в системе жертвы HTA-файлы для установки малвари, ворующей пароли.
Файл Internet Shortcut представляет собой простой текстовый файл, содержащий различные настройки конфигурации, например, какую иконку показывать, какую ссылку открывать при двойном клике и так далее. При сохранении в формате .url и двойному клику по такому файлу, Windows откроет конкретный URL-адрес в браузере по умолчанию.
Однако злоумышленники обнаружили, что могут вынудить открыть указанный URL через Internet Explorer, используя mhtml:. MHTML — это MIME Encapsulation of Aggregate HTML Documents, то есть технология, представленная еще в Internet Explorer, которая превращает всю веб-страницу, включая изображения, в единый архив.
И если URL-адрес запускается с помощью mhtml:, Windows автоматически открывает его в Internet Explorer вместо браузера по умолчанию.
По словам известного ИБ-эксперта Уилла Дорманна (Will Dormann), открытие страницы в Internet Explorer дает хакерам дополнительные преимущества, поскольку при загрузке вредоносных файлов пользователь видит гораздо меньше предупреждений об опасности.
«Во-первых, IE позволяет загрузить файл .HTA из интернета без каких-либо предупреждений, — рассказывает Дорманн. — Во-вторых, после загрузки, файл .HTA будет находиться в каталоге INetCache, но НЕ получит явной отметки MotW (Mark of the Web). В этот момент единственной защитой пользователя является предупреждение о том, что "веб-сайт" пытается открыть контент с помощью программы на компьютере. Не указывается, о каком именно сайте идет речь. Если пользователь считает, что доверяет этому сайту, происходит выполнение кода».
По сути, злоумышленники пользуются тем, что Internet Explorer все еще входит в состав Windows 10 и Windows 11 по умолчанию. Невзирая на то, что Microsoft окончательно вывела IE из эксплуатации около двух лет назад, а Edge заменил его практически во всем, устаревший браузер до сих пор можно вызвать и использовать во вредоносных целях.
В Check Point объясняют, что, хакеры создают файлы Internet Shortcut с иконками, которые выглядят как ссылки на PDF-файлы. При клике по ним в Internet Explorer открывается указанная веб-страница, которая автоматически пытается загрузить якобы PDF-файл, но на самом деле этой файл HTA.
При этом злоумышленники могут скрыть расширение HTA и создать видимость загрузки PDF-файла, используя Юникод, чтобы расширение .hta не отображалось.
Когда Internet Explorer загружает файл HTA, браузер спрашивает, сохранить его или открыть. Если пользователь решит открыть файл, полагая, что это PDF, то при запуске появится лишь общее предупреждение об открытии контента с веб-сайта. Поскольку человек ожидает загрузки PDF-файла, он может проигнорировать это предупреждение, и в итоге файл будет запущен.
По данным исследователей, разрешение на запуск HTA-файла приводит к установке на компьютер жертвы малвари Atlantida Stealer, которая ворует данные. После запуска вредонос похищает все учетные данные, хранящиеся в браузере, файлы cookie, историю браузера, данные криптовалютных кошельков, учетные данные Steam и так далее.
После устранения уязвимости CVE-2024-38112 использование mhtml: больше не дает результата и не позволяет открыть Internet Explorer, теперь в любом случае запускается Microsoft Edge.
