Kiberbűnözők több mint egy évig kihasználták a Windows 0-day sérülékenységet, mire a Microsoft javította


Veszélyes Zero-Day Támadások: Egy Régi Hiba Új Trükkökkel

Fenyegető szereplők több mint egy évig hajtottak végre zero-day támadásokat Windows felhasználók ellen, mielőtt a Microsoft kijavította volna a sebezhetőséget — állították a kutatók kedden.

A sebezhetőség, amely a Windows 10 és 11 verzióiban is jelen volt, arra késztette az eszközöket, hogy megnyissák az Internet Explorert, egy régi böngészőt, amelyet a Microsoft 2022-ben lekapcsolt. A lépést követően a Windows megnehezítette, ha nem is lehetetlenítette el, hogy normál műveletek megnyissák a böngészőt, amelyet először az 1990-es évek közepén vezettek be.

Régi és Új Trükkök

A sebezhetőséget kihasználó rosszindulatú kód legalább 2023 januárjáig nyúlik vissza, és még idén májusban is keringett — közölték a sebezhetőséget felfedező és a Microsoftnak jelentő kutatók. A vállalat kedden javította a sebezhetőséget, amely CVE-2024-CVE-38112 néven volt nyomon követve, havi javítócsomagjának részeként. A sebezhetőség, amely a Windows MSHTML motorjában volt, 10-ből 7,0-es súlyossági értékelést kapott.

A Check Point biztonsági cég kutatói szerint a támadókód „új (vagy korábban ismeretlen) trükköket alkalmazott, hogy távoli kódfuttatásra csábítsa a Windows felhasználókat.” Például egy PDF fájl megnyitásának látszó link .url kiterjesztést adott hozzá a fájl végéhez, mint például Books_A0UJKO.pdf.url, amelyet egy rosszindulatú kód mintában találtak.

Windowsban megtekintve a fájl PDF fájlként jelenik meg, nem pedig .url fájlként. Az ilyen fájlok arra vannak tervezve, hogy egy linkben meghatározott alkalmazást nyissanak meg.

Nagyít / Képernyőkép, amely egy Books_A0UJKO.pdf nevű fájlt mutat. A fájl ikonja PDF-et jelez.

A fájlban lévő link hívást intézett az msedge.exe-hez, amely az Edge böngészőt futtatja. A link azonban két attribútumot tartalmazott—mhtml: és !x-usc:—egy „régi trükk”, amit a fenyegető szereplők évek óta használnak arra, hogy a Windows különböző alkalmazásokat, például az MS Wordöt nyissa meg. A link egy rosszindulatú weboldalra is mutatott. Ha rákattintottak, a PDF-nek álcázott .url fájl nem Edge-ben, hanem Internet Explorerben nyitotta meg az oldalt.

„Innentől kezdve (az oldal IE-ben való megnyitásával) a támadó sok rossz dolgot tehet, mert az IE nem biztonságos és elavult,” írta Haifei Li, a sebezhetőséget felfedező Check Point kutatója. „Például, ha a támadónak van egy IE zero-day exploitja — amelyet sokkal könnyebb megtalálni, mint a Chrome/Edge esetében — a támadó azonnal távoli kódfuttatást érhet el az áldozatnál. Azonban az általunk elemzett mintákban a fenyegető szereplők nem használtak semmilyen IE távoli kódfuttatási exploitot. Ehelyett egy másik IE trükköt használtak — amely valószínűleg korábban nem volt ismert — hogy az áldozatot megtévesztve távoli kódfuttatást érjenek el.”

Az IE ezután egy párbeszédablakot jelenít meg, amely megkérdezi a felhasználót, hogy meg akarja-e nyitni a PDF-nek álcázott fájlt. Ha a felhasználó az „open” lehetőségre kattint, a Windows egy második párbeszédablakot jelenít meg, amely egy homályos értesítést mutat, hogy a folytatás a Windows eszközön található tartalmat nyitja meg. Ha a felhasználók az „allow” gombra kattintanak, az IE egy .hta kiterjesztésű fájlt tölt be, amely arra készteti a Windowst, hogy az Internet Explorerben nyissa meg a fájlt és futtassa a beágyazott kódot.

Nagyít / Képernyőkép, amely megnyitott IE ablakot és IE által generált párbeszédablakot mutat, amely megkérdezi, hogy meg akarja-e nyitni a Books_A0UJKO.pdf fájlt.

Nagyít / Képernyőkép az IE Biztonsági ablakáról, amely megkérdezi, hogy a felhasználó „webtartalmat” akar-e megnyitni IE használatával.

„Összefoglalva a támadásokat a kihasználás perspektívájából: az első technika a „mhtml” trükk, amely lehetővé teszi a támadónak, hogy az IE-t hívja meg a biztonságosabb Chrome/Edge helyett,” írta Li. „A második technika egy IE trükk, amely az áldozatot arra készteti, hogy azt higgyék, egy PDF fájlt nyitnak meg, miközben valójában egy veszélyes .hta alkalmazást töltenek le és futtatnak. E támadások általános célja, hogy az áldozatokat megtévesszék, hogy PDF fájlt nyitnak meg, és ezt a két trükk segítségével érik el.”

A Check Point bejegyzése kriptográfiai hashokat tartalmaz hat rosszindulatú .url fájlhoz, amelyeket a kampány során használtak. A Windows felhasználók ellenőrizhetik a hashokat, hogy megállapítsák, célba vették-e őket.

Érdekes tény: Az AI-t gyakran használják a biztonsági kutatásokban, hogy gyorsan azonosítsák és elemezzék a rosszindulatú kódokat.

Forrás: Check Point Research