本文经授权转自公众号CSDN(ID:CSDNnews)
谁能想到,
早在 2022 年 6 月 15 日正式退役的 IE 浏览器,近日还能因漏洞被推上风口浪尖?
全球网络安全解决方案提供商 Check Point Research(简称为 CPR)最近发现:有攻击者在过去 18 个月里,通过构建特殊的 Windows Internet 快捷方式文件(即 .url),引诱用户点击并调用 IE 浏览器来访问攻击者控制的 URL,以此进行恶意攻击。
据了解,这种漏洞甚至可以绕过 Windows 10、Windows 11 系统的安全防护。
1、强制调用 IE 浏览器打开 URL
据悉,该漏洞由 CPR 研究人员发现,追踪编号为 CVE-2024-38112,微软方面将其描述为 Windows MSHTML 平台欺骗漏洞,自 2023 年 1 月以来就一直在被黑客利用:“我们发现的恶意 .url 样本最早可以追溯到 2023 年 1 月(一年多前),最晚可以追溯到 2024 年 5 月 13 日。这表明,网络罪犯使用这种攻击技术已经有一段时间了。”
通过对攻击过程的详细分析,CPR 研究人员将该漏洞的实现分解为两个步骤:
那么接下来,我们就先了解一下这个能在 Windows 中调用 IE 浏览器的“mhtml”技巧。
一般情况下,Internet 快捷方式文件(即 .url)是一个文本文件,里面包含各种配置信息,如显示什么图标、双击时打开什么链接等。将其保存为 .url 文件并双击后,Windows 会在默认浏览器中打开这个 URL。
然而,攻击者发现可以在 URL 指令中使用 mhtml: URI 处理程序,以此强制用 IE 浏览器打开指定的 URL。以下面这个恶意 .url 样本为例:
可以看到,.url 文件的最后几行字符串指向 Microsoft Edge 应用程序文件中的一个自定义图标。乍一看,它似乎指向一个 PDF 文件,但实际上并非如此。CPR 研究人员发现这个关键字的值与通常的关键字有很大不同:普通 .url 文件的参数类似于 URL=https://www.google.com;但这个恶意样本的值是 URL=mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html。
它使用了一个特殊的前缀“mhtml:”。简单说明一下 MHTML,这是一种“聚合 HTML 文档的 MIME 封装”文件,是 IE 浏览器中引入的一种存储文件技术,可将包括图像在内的整个网页封装成一个单一档案。
CPR 研究人员指出,这样的恶意 .url 文件在 Windows 11 中会显示为一个指向 PDF 文件的链接:
如果受害者想打开 PDF,双击这个 .url 文件,然后便会弹出下面这个来自 IE 浏览器的窗口:
没错,攻击者使用 mhtml: URI 启动 URL 后,Windows 会自动在 IE 浏览器中启动 URL,而不是默认浏览器。如文章开头所说,IE 浏览器早在 2022 年就退出历史舞台了,在典型的 Windows 10/11 操作系统上,因其安全性不足,用户一般无法直接用 IE 去访问网站。
不过有一点需要明确:尽管 IE 已被微软宣布“退役”,但从技术上讲,IE 仍是 Windows 系统的一部分,IE 使用的专有浏览器引擎 MSHTML (Trident)也仍包含在操作系统中,微软计划至少支持该引擎到 2029 年。
