Исследователи из компании по безопасности Check Point сообщили, что вредоносный код, эксплуатирующий уязвимость, датируется как минимум январем 2023 года и циркулировал еще в мае этого года. Уязвимость, отслеживаемая как CVE-2024-CVE-38112, была исправлена компанией Microsoft во вторник в рамках ежемесячной программы выпуска патчей. Уязвимость находилась в движке MSHTML Windows и имела уровень серьезности 7,0 из 10.
Старые и новые трюки
Исследователи из Check Point отметили, что атакующий код использовал "новые (или ранее неизвестные) трюки для заманивания пользователей Windows для удаленного выполнения кода". Например, ссылка, которая казалась открывающей PDF-файл, имела расширение .url в конце файла, например, Books_A0UJKO.pdf.url, найденное в одном из образцов вредоносного кода.
При просмотре в Windows файл показывал значок, указывающий на то, что это PDF-файл, а не .url файл. Такие файлы предназначены для открытия приложения, указанного в ссылке. Ссылка в файле вызывала msedge.exe, файл, запускающий Edge. Однако ссылка включала два атрибута—mhtml: и !x-usc:—"старый трюк", который злоумышленники используют уже много лет для открытия приложений, таких как MS Word. Она также включала ссылку на вредоносный веб-сайт. При нажатии на файл .url, замаскированный под PDF, сайт открывался не в Edge, а в Internet Explorer.
"С этого момента (открытие сайта в IE) злоумышленник мог бы сделать много плохих вещей, потому что IE небезопасен и устарел," написал Хайфей Ли, исследователь Check Point, обнаруживший уязвимость. "Например, если у злоумышленника есть эксплойт нулевого дня для IE—который намного легче найти по сравнению с Chrome/Edge—злоумышленник мог бы атаковать жертву для немедленного получения удаленного выполнения кода. Однако в проанализированных нами образцах злоумышленники не использовали никаких эксплойтов для удаленного выполнения кода через IE. Вместо этого они использовали другой трюк в IE—который, вероятно, ранее не был публично известен—чтобы обмануть жертву и получить удаленное выполнение кода."
IE затем представлял пользователю диалоговое окно с вопросом, хочет ли он открыть файл, замаскированный под PDF. Если пользователь нажимал "открыть", Windows представляла второе диалоговое окно с расплывчатым уведомлением о том, что продолжение откроет содержимое на устройстве Windows. Если пользователи нажимали "разрешить", IE загружал файл с расширением .hta, что заставляло Windows открыть файл в Internet Explorer и выполнить встроенный код.
"Чтобы резюмировать атаки с точки зрения эксплуатации: первая техника, используемая в этих кампаниях, это трюк с "mhtml", который позволяет злоумышленнику вызвать IE вместо более безопасного Chrome/Edge," написал Ли. "Вторая техника—это трюк с IE, чтобы заставить жертву поверить, что она открывает PDF-файл, тогда как на самом деле она загружает и выполняет опасное приложение .hta. Общая цель этих атак—заставить жертв поверить, что они открывают PDF-файл, и это становится возможным благодаря использованию этих двух трюков."
Пост Check Point включает криптографические хэши для шести вредоносных .url файлов, использованных в кампании. Пользователи Windows могут использовать эти хэши для проверки того, были ли они целью атаки.