Badacze ds. cyberbezpieczeństwa Check Point odkryli niedawno aktywnie wykorzystywane przez hakerów pliki skrótów, które połączone z podatnością zero-day (CVE-2024-38112) umożliwiają im atakowanie użytkowników systemu Windows.
Podatność zero-day w Microsofcie była wykorzystywana przez atakujących od ponad roku.
Pliki skrótów są niepozornym sposobem na wykonanie złośliwego kodu w systemie docelowym. Mogą być maskowane jako nieszkodliwe ikony, ale w rzeczywistości zawierają polecenia, które po kliknięciu uruchamiają szkodliwe skrypty lub programy.
Technika pozwala atakującym ominąć środki bezpieczeństwa, uzyskać nieautoryzowany dostęp lub dostarczyć ładunki, wykorzystując jednocześnie zaufanie użytkowników do pozornie niegroźnych skrótów na pulpicie.
Podatność CVE-2024-38112
CVE-2024-38112 to luka w zabezpieczeniach platformy Windows MSHTML związana z podszywaniem się pod inny plik. Microsoft opublikował dla niej we wtorek poprawkę. Była prawdopodobnie wykorzystywana przez atakujących od ponad roku, co ujawnił Haifei Li, badacz Check Point.
„Badanie Check Point odkryło niedawno, iż ugrupowania zagrażające stosują nowatorskie (lub nieznane wcześniej) sztuczki, aby zwabić użytkowników systemu Windows do zdalnego wykonania kodu. W szczególności napastnicy używali specjalnych plików skrótów internetowych systemu Windows (nazwa rozszerzenia .url), które po kliknięciu wywoływały wycofaną przeglądarkę Internet Explorer (IE) w celu odwiedzenia adresu URL kontrolowanego przez osobę atakującą” – wyjaśnił.
„Otwierając adres URL dzięki przeglądarki IE zamiast nowoczesnej i znacznie bezpieczniejszej przeglądarki Chrome/Edge w systemie Windows, osoba atakująca uzyskała znaczną przewagę w zakresie wykorzystania komputera ofiary, mimo iż na komputerze działał nowoczesny system operacyjny Windows 10/11”.
Hakerzy wykorzystują pliki skrótów do atakowania użytkowników
W tym przypadku cyberprzestępcy odnoszą wiele korzyści w zakresie zdalnego wykonywania kodu, wymuszając użycie IE i ukrywając złośliwe rozszerzenia .hta.
Sztuczkę „mhtml” użytą w ataku CVE-2021-40444 opisywaliśmy w zeszłym tygodniu, a w tej chwili jest ona wykorzystywana przez cyberprzestępców z plikami .url.
Nowoczesne zabezpieczenia przeglądarek są omijane poprzez zdalne wykonywanie kodu w przeglądarce Microsoft Internet Explorer przy użyciu plików skrótów internetowych systemu Windows (.url).
Wycofany IE jest tak używany od stycznia 2023 r. i wykorzystuje się go do atakowania choćby zaktualizowanych komputerów z systemem Windows 10 czy Windows 11.
Jak wygląda atak?
W celu wykorzystania luki CVE-2024-38112 przestępcy wysyłają do użytkowników specjalnie spreparowany plik – np. Books_A0UJKO.pdf.url . Plik po zapisaniu na dysku dla większości użytkowników systemu Windows wygląda niegroźnie, ponieważ jest zamaskowany pod znaną ikoną pliku – w tym przypadku jest to ikona plików PDF.
Plik wykorzystuje procedurę obsługi MHTML: URI format (mhtml:http://…!x-usc:http://…), aby zmusić przeglądarkę Internet Explorer do otwarcia strony internetowej kontrolowanej przez osobę atakującą, z której może ona przeprowadzić dalszy atak.
Umożliwia to zdalne wykonanie kodu choćby na najnowszych systemach Windows 11!
Włamanie wykorzystuje dwa rodzaje wprowadzających w błąd metod:
- sztuczkę z „mhtml”, która powoduje użycie przeglądarki Internet Explorer zamiast bezpieczniejszych przeglądarek
- oraz sztuczkę specyficzną dla IE, która maskuje złośliwy plik .hta jako plik PDF.
Nazwa pliku składa się z niewidocznych, niedrukowalnych znaków, po których następuje ukryte rozszerzenie .hta, mające na celu oszukać użytkowników, którzy myślą, iż otwierają nieszkodliwy plik PDF.
Powyższe ominięcie „trybu chronionego” w przeglądarce IE jest dwuetapowym oszustwem, które może skutkować naruszeniem bezpieczeństwa systemu, jeżeli zostanie zignorowane przez użytkownika, który nieuważnie zaakceptuje komunikat.
Podatność została zgłoszona 16 maja. Microsoft wypuścił dla niej łatkę 9 lipca 2024 r.