零日破绽 微软已修复 IE 10 Windows 被曝 MSHTML 阅读器散发恶意文件 11 滥用 Windows
IT之家7 月 11 日信息,微软公司在 7 月补丁星期二发布的Windows 10、Windows 11系统累积更新中,修复了追踪编号为 CVE-2024-38112 的零日破绽。
该零日破绽由 Check Point Research 的安保专家李海飞(Haifei Li,音译)于 2023 年 1 月发现,是一个高度重大的 MHTML 诈骗疑问,有证据标明有黑客在过去 18 个月里,应用该破绽动员恶意攻打,可以绕过 Windows 10、Windows 11 系统的安保性能。
该专家发现网络攻打者经过散发 Windows Internet 快捷模式文件(.url),以诈骗 PDF 等看起来非法的文件,用户一旦点开这些文件,就会下载并启动 HTA 以装置明码窃取恶意软件。
Internet 快捷模式文件只是一个文本文件,其中蕴含各种性能设置,如显示什么图标、双击时关上什么链接等信息。保留为 .url 文件并双击后,Windows 将在自动网络阅读器中关上性能的 URL。
不过攻打者发现可以经过在 URL 指令中经常使用 mhtml: URI 处置程序,来强迫 Internet Explorer 关上指定的 URL,如下图所示:
IT之家注:MHTML 是一种 "聚合 HTML 文档的 MIME 封装" 文件,是 Internet Explorer 中引入的一种技术,可将包括图像在内的整个网页封装成一个繁多的档案。
攻打者经常使用 mhtml: URI 启动 URL 后,Windows 会智能在 Internet Explorer 中启动 URL,而不是自动阅读器。
破绽钻研人员 Will Dormann 称,在 Internet Explorer 中关上网页会给攻打者带来额外的好处,下载恶意文件时安保正告较少。
虽然微软早在两年前就发表中止允许该阅读器,并以 Edge 替代其一切适用性能,但这款过期的阅读器仍可被恶意调用和应用。