Уязвимость нулевого дня в Internet Explorer

В рамках очередного «Вторника обновлений» Microsoft выпустила патчи для 142 уязвимостей. Среди них четыре уязвимости нулевого дня, причем если о двух из них просто уже было публично известно, то две другие активно эксплуатировали злоумышленники.

Как это ни смешно, один из этих «зиро-деев», который до этого полтора года использовался для кражи паролей, был обнаружен в браузере Internet Explorer. В том самом браузере, развитие которого Microsoft прекратила еще в 2015 году и который в феврале 2023 года компания пообещала совсем-совсем точно-точно окончательно похоронить. К сожалению, пациент оказался упрямым и собственным похоронам упорно сопротивляется.

Почему Internet Explorer совсем не так мертв, как всем нам хотелось бы

В прошлом году я уже писала о том, что на самом деле означали очередные похороны Internet Explorer. Не буду повторять здесь все подробности, их вы можете найти по ссылке, ограничусь краткой версией. «Похоронным» обновлением Microsoft не удалила браузер из системы, а всего лишь отключила (и даже это произошло далеко не во всех версиях Windows).

На практике это означает, что Internet Explorer по-прежнему остается в системе, просто пользователи не могут запустить его в качестве самостоятельного браузера. Соответственно, все новые уязвимости, которые находят в Internet Explorer, по-прежнему могут угрожать пользователям Windows — даже если им кажется, что они никак и никогда не используют устаревший браузер.

CVE-2024-38112: уязвимость в Windows MSHTML

Теперь о том, что же представляет собой обнаруженная уязвимость CVE-2024-38112. Это дыра в браузерном движке MSHTML, который находится под капотом Internet Explorer. Уязвимость имеет рейтинг 7,5 баллов из 10 по шкале CVSS 3 и уровень опасности «высокий».

Для эксплуатации уязвимости злоумышленникам необходимо создать вредоносный файл в безобидном формате интернет-ярлыка (.url, Windows Internet Shortcut File), использовав в нем ссылку с префиксом mhtml. При открытии такого файла пользователем вместо дефолтного браузера будет запущен Internet Explorer, механизмы защиты которого не слишком хороши.

Как CVE-2024-38112 эксплуатировали злоумышленники

Чтобы лучше понять, как эта уязвимость работает, рассмотрим ту атаку, в ходе исследования которой она и была обнаружена. Начинается все с того, что пользователю присылают файл .url, который имеет иконку, используемую для PDF, и двойное расширение .pdf.url.

Внутри вредоносного файла .url можно видеть ссылку с тем самым «уязвимым» префиксом mhtml. Последние две строчки отвечают за смену иконки на ту, которая используется для PDF. Источник

Таким образом для пользователя этот файл выглядит как ярлык, ведущий на PDF, — то есть штука достаточно безобидная. Если пользователь кликнет по файлу, будет проэксплуатирована уязвимость CVE-2024-38112. Из-за префикса mhtml в .url-файле он будет открыт не в дефолтном браузере системы, а в Internet Explorer.

При попытке открыть вредоносный файл запускается Internet Explorer. Источник

Проблема в том, что в соответствующем диалоге Internet Explorer приводит название все того же .url-файла, притворяющегося ярлыком, ведущим на PDF. Так что логично предположить, что после нажатия на кнопку «Открыть» будет открыт некий PDF. Однако на самом деле происходит переход по ссылке, в результате которого будет загружен и запущен HTA-файл.

Это HTML Application, один из скриптовых языков, изобретенных Microsoft. В отличие от обычных веб-страниц, такие скрипты выполняются как полноценные приложения и могут много чего — например, работать с файлами и реестром Windows. Одним словом, очень опасная штука.

При запуске этого файла Internet Explorer показывает не слишком информативное предупреждение привычного пользователям Windows формата, от которого многие просто отмахнутся.

Вместо открытия PDF-файла происходит запуск вредоносного HTA (HTML Application), сопровождаемый малоинформативным предупреждением Internet Explorer. Источник

После нажатия на кнопку «Разрешить» на компьютере пользователя запускается зловред-стилер, который собирает и отправляет на сервер злоумышленников сохраненные в браузере пароли, куки-файлы, историю браузера, ключи от криптокошельков и другую ценную информацию.

Как защититься от CVE-2024-38112

В Microsoft описанную уязвимость уже закрыли. После установки обновления трюк с mhtml в .url-файлах больше не будет работать, теперь такие файлы будут открываться в браузере Edge, который лучше защищает пользователя от неприятностей.

Тем не менее эта история еще раз напоминает нам о том, что еще какое-то время пользователей Windows будет преследовать наследие мертвого браузера. По этому поводу можно посоветовать вовремя устанавливать все обновления, связанные с Internet Explorer и движком MSHTML. А также использовать на всех устройствах с Windows надежное защитное решение.