Корпорация Microsoft устранила уязвимость нулевого дня в Windows, которая на протяжении последних 18 месяцев активно использовалась хакерами в атаках для запуска вредоносных скриптов в обход встроенных функций безопасности. Уязвимость с идентификатором CVE-2024-38112 представляет собой серьёзную проблему подмены MHTML, исправленную в ходе выпуска пакета обновлений безопасности Patch Tuesday в июле 2024 года.

Эксперт по ИБ Хайфэй Ли из Check Point Research обнаружил уязвимость и сообщил о ней Microsoft в мае 2024 года. Хайфэй Ли выяснил, что злоумышленники распространяют файлы ярлыков Интернета Windows (.url) для подделки легитимных файлов, например PDF-файлов, но которые загружают и запускают файлы HTA для установки вредоносного ПО для кражи паролей.

В отчёте Check Point уточняется, что файл ярлыка Интернета — это просто текстовый файл, содержащий различные параметры конфигурации, например, какой значок показывать, какую ссылку открывать при двойном щелчке и другую информацию. При сохранении в виде файла .url и двойном щелчке Windows откроет настроенный URL в веб-браузере по умолчанию.

Однако хакеры обнаружили, что они могут заставить Internet Explorer открыть указанный URL-адрес, используя mhtml:обработчик URI в директиве URL, как показано ниже. MHTML — это файл «MIME-инкапсуляции агрегированных HTML-документов», технология, представленная в Internet Explorer, которая инкапсулирует всю веб-страницу, включая её изображения, в один архив. При запуске URL-адреса с помощью mhtmlWindows автоматически запускает его в Internet Explorer вместо браузера по умолчанию.

По словам исследователя уязвимостей Уилла Дорманна, открытие веб-страницы в Internet Explorer даёт злоумышленникам дополнительные преимущества, поскольку при загрузке вредоносных файлов появляется меньше предупреждений о безопасности.

Полная версия отчёта представлена по ссылке.

Оригинал публикации на сайте CISOCLUB: "Check Point: уязвимость нулевого дня Windows MSHTML использовалась для вредоносных атак более года".