Η Microsoft διόρθωσε μια ευπάθεια zero-day στο MHTML, η οποία χρησιμοποιούνταν ενεργά σε επιθέσεις για τουλάχιστον δεκαοκτώ μήνες. Αν δεν ενημερώσουν τα συστήματά τους, οι χρήστες θα παραμείνουν ευάλωτοι, με τους επιτιθέμενους να εκτελούν κακόβουλα scripts, παρακάμπτοντας παράλληλα τις ενσωματωμένες δυνατότητες ασφαλείας.
Η ευπάθεια παρακολουθείται ως CVE-2024-38112 και είναι μια σοβαρή ευπάθεια στο MHTML. Η Microsoft τη διόρθωσε με το Patch Tuesday Ιουλίου.
Ο Haifei Li της Check Point Research ανακάλυψε την ευπάθεια και την αποκάλυψε στη Microsoft τον Μάιο του 2024. Ωστόσο, όπως εξήγησε ο ερευνητής, έχουν βρεθεί δείγματα που εκμεταλλεύονται αυτή την ευπάθεια ήδη από τον Ιανουάριο του 2023.
Ο Haifei Li ανακάλυψε ότι κυβερνοεγκληματίες διένειμαν Windows Internet Shortcut Files (.url) για να πλαστογραφούν νόμιμα αρχεία, όπως αρχεία PDF. Ωστόσο, αυτά τα φαινομενικά νόμιμα αρχεία κατεβάζουν και εκτελούν αρχεία HTA για να εγκαταστήσουν κακόβουλο λογισμικό που κλέβει κωδικούς πρόσβασης.
Δείτε επίσης: kvmCTF: Το νέο VRP πρόγραμμα της Google για εύρεση zero-day ευπαθειών KVM
Ένα Internet Shortcut File είναι ένα αρχείο κειμένου που περιέχει διάφορες ρυθμίσεις διαμόρφωσης, όπως ποιο εικονίδιο να εμφανίζεται, ποιος σύνδεσμος να ανοίξει όταν κάνετε διπλό κλικ και άλλες πληροφορίες. Όταν αποθηκευτεί ως αρχείο .url και γίνει διπλό κλικ, τα Windows θα ανοίξουν τη ρυθμισμένη διεύθυνση URL στο προεπιλεγμένο πρόγραμμα περιήγησης.
Ωστόσο, οι επιτιθέμενοι ανακάλυψαν ότι θα μπορούσαν να αναγκάσουν τον Internet Explorer να ανοίξει την καθορισμένη διεύθυνση URL χρησιμοποιώντας το mhtml: URI handler στο URL directive.
Το MHTML είναι ένα αρχείο «MIME Encapsulation of Aggregate HTML Documents», μια τεχνολογία που εισήχθη στον Internet Explorer και ενσωματώνει μια ολόκληρη ιστοσελίδα, συμπεριλαμβανομένων των εικόνων της, σε ένα ενιαίο αρχείο. Όταν η διεύθυνση URL εκκινείται με το mhtml: URI, τα Windows την εκκινούν αυτόματα στον Internet Explorer αντί για το προεπιλεγμένο πρόγραμμα περιήγησης.
Ο ερευνητής Will Dormann εξηγεί ότι το άνοιγμα μιας ιστοσελίδας στον Internet Explorer βοηθά τους κυβερνοεγκληματίες, καθώς υπάρχουν λιγότερες προειδοποιήσεις ασφαλείας κατά τη λήψη κακόβουλων αρχείων.
Δείτε επίσης: Google: Zero-day σε συσκευές Pixel χρησιμοποιήθηκε σε επιθέσεις
“Πρώτον, ο IE θα σας επιτρέψει να κατεβάσετε ένα αρχείο .HTA από το διαδίκτυο χωρίς προειδοποίηση“, εξήγησε ο Dormann στο Mastodon. “Στη συνέχεια, μόλις γίνει λήψη, το αρχείο .HTA θα βρίσκεται στον κατάλογο INetCache, αλλά ΔΕΝ θα έχει MotW. Σε αυτό το σημείο, η μόνη προστασία που έχει ο χρήστης είναι μια προειδοποίηση ότι “ένας ιστότοπος” θέλει να ανοίξει περιεχόμενο χρησιμοποιώντας ένα πρόγραμμα στον υπολογιστή, χωρίς να λέει ποιος ιστότοπος είναι. Εάν ο χρήστης εμπιστεύεται “αυτόν τον” ιστότοπο, τότε πραγματοποιείται η εκτέλεση κώδικα“.
Ουσιαστικά, αξιοποιώντας αυτή τη zero-day στο MHTML, οι επιτιθέμενοι εκμεταλλεύονται το γεγονός ότι ο Internet Explorer εξακολουθεί να υπάρχει από προεπιλογή στα Windows 10 και Windows 11. Παρά το γεγονός ότι η Microsoft ανακοίνωσε την απόσυρση του Internet Explorer πριν από περίπου δύο χρόνια, το πρόγραμμα περιήγησης μπορεί ακόμα να χρησιμοποιηθεί, κάτι που εκμεταλλεύονται οι hackers.
Σύμφωνα με την Check Point, οι επιτιθέμενοι δημιουργούν Internet Shortcut files με icon indexes για να εμφανίζονται ως σύνδεσμοι σε ένα αρχείο PDF.
Κάνοντας κλικ, η καθορισμένη ιστοσελίδα θα ανοίξει στον Internet Explorer, ο οποίος επιχειρεί αυτόματα να πραγματοποιήσει λήψη αυτού που φαίνεται να είναι αρχείο PDF αλλά στην πραγματικότητα είναι αρχείο HTA. Οι επιτιθέμενοι αποκρύπτουν την επέκταση HTA, ώστε ο χρήστης να μην καταλαβαίνει την απειλή.
Όταν ο Internet Explorer πραγματοποιεί λήψη του αρχείου HTA, ρωτά εάν θέλετε να το αποθηκεύσετε ή να το ανοίξετε. Εάν ένας χρήστης αποφασίσει να το ανοίξει, θα εμφανιστεί μόνο μια γενική ειδοποίηση σχετικά με το περιεχόμενο που ανοίγει από έναν ιστότοπο. Καθώς ο στόχος αναμένει να πραγματοποιήσει λήψη ενός PDF, είναι πιθανό να μη λάβει υπόψη αυτή την ειδοποίηση και να επιτρέψει την εκτέλεση του αρχείου.
Δείτε επίσης: Το Black Basta ransomware εκμεταλλευόταν Windows zero-day ευπάθεια
Η Check Point Research λέει ότι η εκτέλεση του αρχείου HTA θα εγκαταστήσει το κακόβουλο λογισμικό Atlantida Stealer, που κλέβει κωδικούς πρόσβασης. Μόλις εκτελεστεί, το κακόβουλο λογισμικό θα κλέψει όλα τα credentials που είναι αποθηκευμένα στο πρόγραμμα περιήγησης, τα cookies, το ιστορικό του προγράμματος περιήγησης, τα crypto wallets, τα Steam credentials και άλλα δεδομένα.
Προστασία από malware που κλέβει κωδικούς
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν info-stealer.
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές. Για παράδειγμα, η Microsoft έχει διορθώσει την ευπάθεια στο MHTML.
Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: www.bleepingcomputer.com
