Internet Explorer上的零時差安全漏洞

在Microsoft近日推出的補丁中,包含了四個零時差安全漏洞,其中一個在過去18個月已經被黑客用作盜竊密碼之用,而且是存在於Internet Explorer,這個早在2015年停止開發,承諾在2023年2月正式「死亡」的瀏覽器。

為甚麼Internet Explorer還沒有「死亡」

去年也曾經發佈過關於Internet Explorer壽終正寢的文章,Microsoft並沒有把瀏覽器從系統上移除,而是把它停用,更並非在所有版本的Windows上實行,所以實際上Internet Explorer仍然保留在系統,只是用戶不能單獨打開瀏覽器,所以任何這個「隱形瀏覽器」上找到的新安全漏洞,仍然能威脅到Windows用戶,即使已經年沒有打開Internet Explorer的用戶。

Windows MSHTML的安全漏洞

這次涉事的安全漏洞CVE-2024-38112存在於MSHTML瀏覽器引覽,是推動Internet Explorer的一部份,如果要利用這個安全漏洞,攻擊者需要創建一個看似無害的互聯網捷徑格式的惡意檔案(.url),含有連結的mhtml檔案,當用戶打開該檔案時,Internet Explorer便會啟動而並非打開預設瀏覽器。

因此,攻擊者便透過發送有PDF圖示的.url檔案(.pdf.url)發動攻擊,對於用戶而言,該檔案看起來是一個無害的PDF捷徑,但是當打開檔案時便會解動CVE-2024-38112安全漏洞,透過.url檔它會透過Internt Explorer下載和啟動一個HTA檔案。這個檔案是一個HTML應用程式,由Microsoft發明的一種腳本語言,它能作為功能全面的應用程式使用,例如編輯檔案或Windows registy,儘管Internet Explorer會彈出資料欠奉的警告,但是被用戶忽略的機會甚高,當用戶點擊「Allow」之後,惡意程式就能收集用戶的密碼、cookies、瀏覽器歷史、加密錢包金鑰和其他儲存在瀏覽器內的有價值資料,然後傳送到攻擊者的伺服器。

防範CVE-2024-38112

Microsoft已經就安全漏洞推出補丁,安裝更新能令.url檔案的技便倆無法運作,往後有該類文件將會在更安全的Edge瀏覽器中開啟,此外,所有關於Internet Explorer和MSHTML引擎的補丁也應該盡量更新,已免被這個隱形瀏覽器所影響。

資料來源:Kaspersky Blog