2022 年,微软正式将 Internet Explorer 作为独立应用程序"退休"。雷德蒙德公司不再支持 Windows 中的 IE,但在最新发布的 Windows 11 中仍包含了这个古老浏览器的引擎。而这正是网络犯罪分子在其活动中仍然喜欢瞄准的安全风险。
微软最新的"星期二补丁"更新包括对 Internet Explorer 浏览器引擎零日漏洞的修复。该漏洞被追踪为 CVE-2024-38112,自 2023 年 1 月以来一直被未知犯罪分子利用,诱骗用户在本地未受保护的机器上运行恶意代码。
CVE-2024-38112 漏洞最早由 Check Point 研究人员发现,微软将其描述为 Windows MSHTML 平台欺骗漏洞。MSHTML 也被称为 Trident,是 Internet Explorer 使用的专有浏览器引擎。Windows 11 不再使用该浏览器,但上述引擎仍包含在操作系统中,微软计划至少在 2029 年前支持该引擎。
CVE-2024-38112 的严重性评级为 7.0(满分 10 分),攻击者需要采取额外行动才能确保成功利用该漏洞。微软警告说,威胁行为者必须诱使受害者下载并执行恶意文件,而用户成为攻击目标、受到攻击和实际被入侵似乎已经有一年多的时间了。
Check Point分析师警告说,IE引擎不安全且已过时,针对CVE-2024-38112设计的零日漏洞利用者使用了一些巧妙的技巧来伪装他们实际想要达到的目的。犯罪分子使用一个恶意 URL 链接,看似打开一个 PDF 文档,然后在 Internet Explorer 模式下打开 Edge 浏览器 (msedge.exe)。
在调用 MSHTML 后,犯罪分子本可以利用一些与 IE 相关的零日漏洞,立即获得远程代码执行权限。然而,Check Point 发现的恶意样本并不包括 IE 引擎中任何以前未知的缺陷。相反,他们使用了另一种新奇的伎俩,打开一个对话框,要求用户保存一个 PDF 文件。
PDF扩展名被用来伪装恶意HTA文件,这是一个从HTML文档中调用的可执行程序,通过一个名为Microsoft HTML Application Host (mshta.exe)的工具在Windows上运行。Check Point说,事实上,CVE-2024-38112攻击的总体目标是让受害者相信他们正在打开一个PDF文件。该公司发现并散列了该活动中使用的六个恶意.url文件,建议Windows用户尽快安装最新的"补丁星期二"更新。