Хакеры эксплуатировали критическую 0day-брешь на протяжении целого года.
Злоумышленники более года эксплуатировали уязвимость в Windows, позволяющую выполнять вредоносный код, прежде чем Microsoft устранила данную проблему. Уязвимость, известная под идентификатором CVE-2024-38112, присутствовала как в Windows 10, так и в Windows 11, и вынуждала устройства жертв открывать устаревший браузер Internet Explorer, выведенный из эксплуатации в 2022 году.
Исследователи из компании Check Point https://research.checkpoint.com/2024...ve-2024-38112/, что вредоносный код, использующий эту уязвимость, активно распространялся с января 2023 года по май 2024 года. В свою очередь, Microsoft исправила её только в минувший вторник в рамках ежемесячного выпуска обновлений безопасности Patch Tuesday. Уязвимость была оценена по степени опасности на 7.0 из 10 и находилась в движке MSHTML Windows.
Атака использовала ранее неизвестные методы, чтобы обманом заставить пользователей Windows выполнять на своих устройствах вредоносный код. Один из обнаруженных примеров включал файл с именем «Books_A0UJKO.pdf.url», который выглядел как PDF, но на самом деле был ссылкой, открывающей указанное приложение.
Ссылка в файле запускала файл «msedge.exe», ответственный за открытие браузера Edge, однако использовала атрибуты «mhtml:» и «!x-usc:», что позволяло, по итогу, открыть не Edge, а Internet Explorer. При помощи этой хитрости злоумышленники могли свободно эксплуатировать неисправленные уязвимости IE для выполнения произвольного кода на устройстве жертвы.
После открытия такого файла пользователь сталкивался с диалоговым окном от Internet Explorer, предлагающим открыть файл, замаскированный под PDF.
https://www.securitylab.ru/upload/me...nb96x9q5k9.png
Если пользователь соглашался, Windows отображала второе диалоговое окно с предупреждением о загрузке содержимого. При нажатии «разрешить» Internet Explorer загружал файл с расширением «.hta», который и запускал вредоносный код.
https://www.securitylab.ru/upload/me...nnlam4dz1z.png
Хайфэй Ли, исследователь из Check Point, объяснил, что первая техника атаки заключалась в использовании трюка «mhtml», чтобы вызвать Internet Explorer вместо более безопасных браузеров Chrome или Edge. Вторая техника заключалась в обмане пользователя, заставляя его думать, что он открывает PDF-файл, тогда как на самом деле выполнялся опасный HTA-файл.
Исследователи предоставили криптографические хэши для шести вредоносных URL-файлов, которые использовались в выявленной зловредной кампании. Пользователи Windows могут использовать эти хэши для проверки, чтобы определить, подвергались ли их устройства вышеописанной атаке.