我要评论7 月 11 日消息,微软公司在 7 月补丁星期二发布的 windows 10、windows 11 系统累积更新中,修复了追踪编号为 cve-2024-38112 的零日漏洞。
该零日漏洞由 check point research 的安全专家李海飞(haifei li,音译)于 2023 年 1 月发现,是一个高度严重的 mhtml 欺骗问题,有证据表明有黑客在过去 18 个月里,利用该漏洞发起恶意攻击,可以绕过 windows 10、windows 11 系统的安全功能。
该专家发现网络攻击者通过分发 windows internet 快捷方式文件(.url),以欺骗 pdf 等看起来合法的文件,用户一旦点开这些文件,就会下载并启动 hta 以安装密码窃取恶意软件。
internet 快捷方式文件只是一个文本文件,其中包含各种配置设置,如显示什么图标、双击时打开什么链接等信息。保存为 .url 文件并双击后,windows 将在默认网络浏览器中打开配置的 url。
不过攻击者发现可以通过在 url 指令中使用 mhtml: uri 处理程序,来强制 internet explorer 打开指定的 url,如下图所示:
代码网注:mhtml 是一种 "聚合 html 文档的 mime 封装" 文件,是 internet explorer 中引入的一种技术,可将包括图像在内的整个网页封装成一个单一的档案。
攻击者使用 mhtml: uri 启动 url 后,windows 会自动在 internet explorer 中启动 url,而不是默认浏览器。
漏洞研究人员 will dormann 称,在 internet explorer 中打开网页会给攻击者带来额外的好处,下载恶意文件时安全警告较少。
尽管微软早在两年前就宣布停止支持该浏览器,并以 edge 代替其所有实用功能,但这款过时的浏览器仍可被恶意调用和利用。
发表评论