黑客利用 INTERNET 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)

主要观点总结

Check Point Research最近发现攻击者使用新颖技巧通过.url文件诱使Windows用户进行远程代码执行。文章详细描述了攻击的技术细节，包括使用“mhtml”技巧复活Internet Explorer和隐藏.hta扩展名的技巧。此外，还提到了相关恶意.url样本、防御和缓解措施，以及建议Windows用户尽快应用Microsoft官方补丁。

关键观点总结

关键观点1: 攻击者使用.url文件作为初始攻击向量，通过调用已退役的Internet Explorer（IE）访问攻击者控制的URL。

攻击者利用IE的不安全性和过时性，尝试在受害者计算机上执行恶意操作。

关键观点2: “mhtml”技巧被用于复活IE，使攻击者能够通过IE打开链接，尽管计算机运行的是现代的Windows 10/11操作系统。

这种技巧利用了文件结构和浏览器行为，使攻击者能够绕过安全限制。

关键观点3: 攻击者使用另一个技巧隐藏.hta扩展名，使受害者相信他们正在打开一个PDF文件，而实际上他们正在下载和执行一个危险的.hta应用程序。

这种技巧增加了攻击的成功率，因为受害者可能没有意识到他们正在执行恶意代码。

关键观点4: 相关恶意.url样本已经在野外积极使用了一年，并且在最新的Windows 10/11操作系统上仍然有效。

Check Point已经为他们的客户提供了保护，防止这种零日攻击，并已经向Microsoft安全响应中心报告了他们的发现。

关键观点5: 防御和缓解措施包括应用Microsoft官方补丁、对来自不信任来源的.url文件保持警惕，以及在最高安全级别上使用全面的内联保护。

Windows用户应尽快应用补丁，并格外警惕不明来源的.url文件。