Злоумышленники более года эксплуатировали уязвимость в Windows, позволяющую выполнять вредоносный код, прежде чем Microsoft устранила данную проблему. Уязвимость, известная под идентификатором CVE-2024-38112, присутствовала как в Windows 10, так и в Windows 11, и вынуждала устройства жертв открывать устаревший браузер Internet Explorer, выведенный из эксплуатации в 2022 году.
Исследователи из компании Check Point обнаружили, что вредоносный код, использующий эту уязвимость, активно распространялся с января 2023 года по май 2024 года. В свою очередь, Microsoft исправила её только в минувший вторник в рамках ежемесячного выпуска обновлений безопасности Patch Tuesday. Уязвимость была оценена по степени опасности на 7.0 из 10 и находилась в движке MSHTML Windows.
Атака использовала ранее неизвестные методы, чтобы обманом заставить пользователей Windows выполнять на своих устройствах вредоносный код. Один из обнаруженных примеров включал файл с именем “Books_A0UJKO.pdf.url”, который выглядел как PDF, но на самом деле был ссылкой, открывающей указанное приложение.
Ссылка в файле запускала файл “msedge.exe”, ответственный за запуск браузера Edge, однако использовала атрибуты “mhtml:” и “!x-usc:”, что позволяло, по итогу, открыть не Edge, а Internet Explorer. При помощи этой хитрости злоумышленники могли свободно эксплуатировать неисправленные уязвимости IE для выполнения произвольного кода на устройстве жертвы.
После открытия такого файла пользователь сталкивался с диалоговым окном от Internet Explorer, предлагающим открыть файл, замаскированный под PDF.
Если пользователь соглашался, Windows отображала второе диалоговое окно с предупреждением о загрузке содержимого. При нажатии “разрешить” Internet Explorer загружал файл с расширением “.hta”, который и запускал вредоносный код.
Хайфэй Ли, исследователь из Check Point, объяснил, что первая техника атаки заключалась в использовании трюка “mhtml”, чтобы вызвать Internet Explorer вместо более безопасных браузеров Chrome или Edge. Вторая техника заключалась в обмане пользователя, заставляя его думать, что он открывает PDF файл, тогда как на самом деле выполнялся опасный “.hta”-файл.
Исследователи предоставили криптографические хэши шести вредоносных “.url”-файлов, которые использовались в выявленной зловредной кампании. Пользователи Windows могут использовать эти хэши для проверки, чтобы определить, подвергались ли их устройства вышеописанной атаке.