Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)

Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)

2024年7月に Microsoft(マイクロソフト)がWindows MSHTMLの脆弱性(CVE-2024-38112)が修正されました。この脆弱性の発見者であるCheck Point ResearchのHaifei Li氏は2023年1月から悪用の痕跡を発見しており、1年以上ゼロデイ攻撃として悪用されていた可能性があります。

2024年9月16日追記:脅威アクターがこの脆弱性を修正を回避する方法を見つけ、ユーザーが脆弱な状態になっています。

Windows MSHTMLの脆弱性の概要(CVE-2024-38112)

Windows MSHTML プラットフォームのなりすましの脆弱性

Windows MSHTMLの脆弱性を悪用するゼロデイ攻撃の概要

攻撃者は特別な Windows インターネット ショートカット ファイル (拡張子 .url) を使用しており、これをクリックすると、廃止された Internet Explorer (IE) が呼び出され、攻撃者が制御する URL にアクセスします。

IE は悪意のある .hta 拡張子名を隠すために使用されます。

Windows 上の最新の、はるかに安全な Chrome/Edge ブラウザーではなく IE で URL を開くことで、攻撃者は被害者のコンピューターが最新の Windows 10/11を実行しているにもかかわらず、そのコンピューターを悪用する上で大きな利益を獲得しています。

インターネット ショートカットファイルとは

IEのデスクトップなどで表示するアイコン、アイコンをダブルクリックしたときに開くリンクなどのさまざまな構成設定を含むテキスト ファイルです。.

url ファイルとして保存してダブルクリックすると、Windows は構成された URL を既定の Web ブラウザーで開きます。

Internet Explorerを開かせるためのmhtml

例えば、以下のようなPDFアイコンにインターネット ショートカットファイルを作成します。

画像引用:Checkpoint

上記ファイルの、.url=の最後の文字列行は、msedge.exeMicrosoft Edge アプリケーション ファイル内のカスタマイズされたアイコンを指しています

重要なのは、URLキーワードの値が通常のものとはかなり異なることです。通常、一般的な .url ファイルの場合、パラメーターはURL を指すようURLになります。

URL=https://www.google.comhttps://www.google.com

mhtml:http: //cbmelipilla.cl/te/test1.html! x-usc:http://cbmelipilla.cl/te/test1.html

脆弱性研究者のウィル・ドーマン氏によると、Internet Explorer で Web ページを開くと、悪意のあるファイルをダウンロードする際のセキュリティ警告が少なくなるため、脅威の攻撃者にとってさらなるメリットがもたらされるとしています。

この為、できるだけIEで開かせるよう、ハッカーは今回のような脆弱性を悪用しています。

本質的に、攻撃者は、Windows 10 および Windows 11 に Internet Explorer がまだデフォルトで含まれているという事実を利用します。

Microsoft が約 2 年前に廃止を発表し、実用的な機能のすべてを Edge に置き換えたにもかかわらず、時代遅れのブラウザは依然として呼び出され、悪意のある目的で悪用される可能性があります。

Check Point によれば、脅威の攻撃者はアイコン インデックス付きのインターネット ショートカット ファイルを作成し、それを PDF ファイルへのリンクとして表示しているとのこと。

PDFのファイルに偽装しHTAファイルをダウンロードさせる

画像引用:Checkpoint

クリックすると、指定された Web ページが Internet Explorer で開き、PDF ファイルのように見えますが

画像引用:BleepingComputer

画像引用:Checkpoint

上記の IE ダイアログで「Open(開く)」(デフォルトのオプション) をクリックすると、別のダイアログが表示されます (以下を参照)。これは、IE の保護モード (比較的弱いブラウザ サンドボックス) によるものです。

画像引用:Checkpoint

ユーザーはファイルをPDFだと思ってダウンロードを許可しますが、許可すると最終的にマルウェアをダウンロードされパスワードを盗むマルウェアである Atlantida Stealer がインストールされます。

Microsoft の脆弱性 CVE-2024-38112 の対応

Microsoft は、Internet Explorer から URI を登録解除することで CVE-2024-38112 の脆弱性を修正しmhtml:、代わりに Microsoft Edge で開くようになりました。

Checkpointの対応

またCheckpointは同社が提供するIPS および Harmony Email の保護機能、IPS シグネチャ「インターネット ショートカット ファイルのリモート コード実行」をリリースしています。

引用

RESURRECTING INTERNET EXPLORER: THREAT ACTORS USING ZERO-DAY TRICKS IN INTERNET SHORTCUT FILE TO LURE VICTIMS (CVE-2024-38112)

Windows MSHTML zero-day used in malware attacks for over a year

TOPへ