Microsoft ha parcheado una vulnerabilidad de día cero de Windows que había sido explotada activamente en ataques durante dieciocho meses para lanzar scripts maliciosos sin pasar por las funciones de seguridad integradas.
La falla, seguida como CVE-2024-38112es un problema de suplantación de identidad MHTML de alta gravedad solucionado en las actualizaciones de seguridad del martes de parches de julio de 2024.
Haifei Li de Check Point Research descubrió la vulnerabilidad y la reveló a Microsoft en mayo de 2024.
Sin embargo, en un El informe de Li.El investigador señala que descubrieron muestras que explotaban este defecto ya en enero de 2023.
Internet Explorer desapareció, pero no realmente
Haifei Li descubrió que actores maliciosos estaban distribuyendo archivos de acceso directo a Internet (.url) de Windows para falsificar archivos de apariencia legítima, como archivos PDF, pero la descarga y ejecución de archivos HTA para instalar malware de robo de palabras excede.
Un archivo de acceso directo a Internet es simplemente un archivo de texto que contiene varios ajustes de configuración, como qué icono mostrar, qué enlace abrir al hacer doble clic y otra información. Una vez guardado como un archivo .url y hecho doble clic, Windows abre la URL configurada en el navegador web predeterminado.
Sin embargo, los actores de amenazas descubrieron que podían obligar a Internet Explorer a abrir la URL especificada utilizando el mhtml: Controlador de URI en la directiva URL como se muestra a continuación.
Fuente: Punto de control
MHTML es un archivo de “encapsulación MIME de documentos HTML agregados”, una tecnología introducida en Internet Explorer que encapsula una página web completa, incluidas sus imágenes, en un solo archivo.
Cuando la URL se inicia con el mhtml: URI, Windows lo inicia automáticamente en Internet Explorer en lugar del navegador predeterminado.
Según el investigador de vulnerabilidades Will Dormann, abrir una página web en Internet Explorer proporciona beneficios adicionales a los actores de amenazas porque hay menos advertencias de seguridad al descargar archivos maliciosos.
“En primer lugar, IE le permitirá descargar un archivo .HTA de Internet sin previo aviso”. Dormann explicó. en Mastodonte.
“Luego, una vez descargado, el archivo .HTA se almacenará en el directorio INetCache, pero NO tendrá explícitamente un MotW. En este punto, la única protección que tiene el usuario es una advertencia de que un “sitio web” quiere abrir contenido web usando un programa en la computadora. »
“Sin especificar de qué sitio se trata. Si el usuario cree que confía en “este” sitio web, es cuando se ejecuta el código. »
Básicamente, los actores de amenazas aprovechan el hecho de que Internet Explorer todavía está incluido de forma predeterminada en Windows 10 y Windows 11.
A pesar de Microsoft anunciando su retiro Hace aproximadamente dos años y Edge lo reemplazó en todas las funciones prácticas, el navegador obsoleto aún puede invocarse y explotarse con fines maliciosos.
Check Point dice que los delincuentes crean archivos de acceso directo a Internet con índices de íconos para que aparezcan como enlaces a un archivo PDF.
Cuando hace clic en él, la página web especificada se abre en Internet Explorer, que automáticamente intenta descargar lo que parece ser un archivo PDF pero en realidad es un archivo HTA.
Fuente: Punto de control
Sin embargo, los malos actores pueden ocultar la extensión HTA y hacer que parezca que se está descargando un PDF rellenando el nombre del archivo con caracteres Unicode para que no se muestre la extensión .hta, como se muestra a continuación.
Fuente: BleepingComputer
Cuando Internet Explorer descarga el archivo HTA, le pregunta si desea guardarlo o abrirlo. Si un usuario decide abrir el archivo pensando que es un PDF porque no contiene marca web, se iniciará solo con una alerta genérica sobre la apertura del contenido de un sitio web.
Fuente: BleepingComputer
Como el objetivo espera descargar un PDF, el usuario puede confiar en esta alerta y se permite que el archivo se ejecute.
Check Point Research le dijo a BleepingComputer que el permiso para ejecutar el archivo HTA instalaría el El malware Atlantida Stealer malware para robar contraseñas en la computadora.
Una vez ejecutado, el malware robará todas las credenciales almacenadas en el navegador, cookies, historial del navegador, billeteras de criptomonedas, credenciales de Steam y otros datos confidenciales.
Microsoft solucionó la vulnerabilidad CVE-2024-38112 cancelando el registro del mhtml: URI de Internet Explorer, por lo que ahora se abre en Microsoft Edge.
CVE-2024-38112 es similar a CVE-2021-40444, una vulnerabilidad de día cero que abusaba de MHTML y que los piratas informáticos norcoreanos aprovecharon para lanzar ataques dirigidos a investigadores de seguridad en 2021.