Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Хакеры использовали критическую 0day-брешь в Windows на протяжении целого года

12/07/24

 

Windows hack-Jul-12-2024-10-34-05-1596-AM

Злоумышленники более года эксплуатировали уязвимость в Windows, позволяющую выполнять вредоносный код, прежде чем Microsoft устранила данную проблему. Уязвимость, известная под идентификатором CVE-2024-38112, присутствовала как в Windows 10, так и в Windows 11, и вынуждала устройства жертв открывать устаревший браузер Internet Explorer, выведенный из эксплуатации в 2022 году. Об этом пишет Securitylab.

Исследователи из компании Check Point обнаружили, что вредоносный код, использующий эту уязвимость, активно распространялся с января 2023 года по май 2024 года. В свою очередь, Microsoft исправила её только в минувший вторник в рамках ежемесячного выпуска обновлений безопасности Patch Tuesday. Уязвимость была оценена по степени опасности на 7.0 из 10 и находилась в движке MSHTML Windows.

Атака использовала ранее неизвестные методы, чтобы обманом заставить пользователей Windows выполнять на своих устройствах вредоносный код. Один из обнаруженных примеров включал файл с именем «Books_A0UJKO.pdf.url», который выглядел как PDF, но на самом деле был ссылкой, открывающей указанное приложение.

Ссылка в файле запускала файл «msedge.exe», ответственный за открытие браузера Edge, однако использовала атрибуты «mhtml:» и «!x-usc:», что позволяло, по итогу, открыть не Edge, а Internet Explorer. При помощи этой хитрости злоумышленники могли свободно эксплуатировать неисправленные уязвимости IE для выполнения произвольного кода на устройстве жертвы.

После открытия такого файла пользователь сталкивался с диалоговым окном от Internet Explorer, предлагающим открыть файл, замаскированный под PDF.

Если пользователь соглашался, Windows отображала второе диалоговое окно с предупреждением о загрузке содержимого. При нажатии «разрешить» Internet Explorer загружал файл с расширением «.hta», который и запускал вредоносный код.

Хайфэй Ли, исследователь из Check Point, объяснил, что первая техника атаки заключалась в использовании трюка «mhtml», чтобы вызвать Internet Explorer вместо более безопасных браузеров Chrome или Edge. Вторая техника заключалась в обмане пользователя, заставляя его думать, что он открывает PDF-файл, тогда как на самом деле выполнялся опасный HTA-файл.

Исследователи предоставили криптографические хэши для шести вредоносных URL-файлов, которые использовались в выявленной зловредной кампании. Пользователи Windows могут использовать эти хэши для проверки, чтобы определить, подвергались ли их устройства вышеописанной атаке.

Темы:WindowsПреступленияCheck Point0Day-уязвимости
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...