Windows MSHTML zero-day utilizzato negli attacchi malware per oltre un anno

Vai ai contenuti

Windows MSHTML zero-day utilizzato negli attacchi malware per oltre un anno

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Pubblicato da Angelo Domeneghini in Vulnerabilità zero-day · 11 Luglio 2024
Windows MSHTML zero-day utilizzato negli attacchi malware per oltre un anno




Microsoft ha risolto una vulnerabilità zero-day di Windows che è stata attivamente sfruttata negli attacchi per diciotto mesi per lanciare script dannosi aggirando le funzionalità di sicurezza integrate.

Il difetto, segnalato come CVE-2024-38112, è un problema di spoofing MHTML di elevata gravità risolto durante gli aggiornamenti di sicurezza del Patch Tuesday di luglio 2024.

Haifei Li di Check Point Research ha scoperto la vulnerabilità e l'ha comunicata a Microsoft nel maggio 2024.

Tuttavia, in un rapporto di Li, il ricercatore osserva di aver scoperto campioni che sfruttano questo difetto già nel gennaio 2023.



Internet Explorer non c'è più, ma non proprio
Haifei Li ha scoperto che gli autori delle minacce distribuiscono file di collegamento Internet di Windows (.url) per falsificare file dall'aspetto legittimo, come i PDF, ma che scaricano e avviano file HTA per installare malware in grado di rubare password.

Un file di collegamento Internet è semplicemente un file di testo che contiene varie impostazioni di configurazione, ad esempio quale icona mostrare, quale collegamento aprire quando si fa doppio clic e altre informazioni. Una volta salvato come file .url e fatto doppio clic, Windows aprirà l'URL configurato nel browser Web predefinito.

Tuttavia, gli autori delle minacce hanno scoperto che potevano forzare Internet Explorer ad aprire l'URL specificato utilizzando il gestore mhtml: URI nella direttiva URL, come mostrato di seguito.


MHTML è un file di "incapsulamento MIME di documenti HTML aggregati", una tecnologia introdotta in Internet Explorer che incapsula un'intera pagina Web, comprese le relative immagini, in un unico archivio.

Quando l'URL viene avviato con mhtml: URI, Windows lo avvia automaticamente in Internet Explorer anziché nel browser predefinito.

Secondo il ricercatore di vulnerabilità Will Dormann, l'apertura di una pagina Web in Internet Explorer offre ulteriori vantaggi agli autori delle minacce, poiché vengono visualizzati meno avvisi di sicurezza durante il download di file dannosi.

"In primo luogo, IE ti consentirà di scaricare un file .HTA da Internet senza preavviso," ha spiegato Dormann su Mastodon.

"Successivamente, una volta scaricato, il file .HTA vivrà nella directory INetCache, ma NON avrà esplicitamente un MotW. A questo punto, l'unica protezione a disposizione dell'utente è un avviso che "un sito web" vuole aprire il contenuto web utilizzando un programma sul computer."

"Senza dire di quale sito si tratta. Se l'utente ritiene di fidarsi di "questo" sito, è in quel momento che avviene l'esecuzione del codice."

In sostanza, gli autori delle minacce approfittano del fatto che Internet Explorer è ancora incluso per impostazione predefinita in Windows 10 e Windows 11.

Nonostante Microsoft abbia annunciato il suo ritiro circa due anni fa e Edge lo abbia sostituito in tutte le funzioni pratiche, il browser obsoleto può ancora essere invocato e sfruttato per scopi dannosi.

Check Point afferma che gli autori delle minacce stanno creando file di collegamenti Internet con indici di icone per farli apparire come collegamenti a un file PDF.

Quando si fa clic, la pagina Web specificata si aprirà in Internet Explorer, che tenterà automaticamente di scaricare quello che sembra essere un file PDF ma in realtà è un file HTA.


Tuttavia, gli autori delle minacce possono nascondere l'estensione HTA e far sembrare che venga scaricato un PDF riempiendo il nome del file con caratteri Unicode in modo che l'estensione .hta non venga visualizzata, come mostrato di seguito.


Quando Internet Explorer scarica il file HTA, ti chiede se desideri salvarlo o aprirlo. Se un utente decide di aprire il file pensando che sia un PDF, poiché non contiene il Marchio del Web, verrà avviato solo con un avviso generico relativo all'apertura del contenuto da un sito web.


Poiché la destinazione prevede di scaricare un PDF, l'utente può fidarsi di questo avviso e il file può essere eseguito.

Check Point Research ha dichiarato a BleepingComputer che consentire l'esecuzione del file HTA installerebbe sul computer il malware Atlantida Stealer che ruba la password.

Una volta eseguito, il malware ruberà tutte le credenziali archiviate nel browser, i cookie, la cronologia del browser, i portafogli di criptovaluta, le credenziali di Steam e altri dati sensibili.

Microsoft ha risolto la vulnerabilità CVE-2024-38112 annullando la registrazione dell'URI mhtml: da Internet Explorer, quindi ora si apre invece in Microsoft Edge.

CVE-2024-38112 è simile a CVE-2021-40444, una vulnerabilità zero-day che abusava di MHTML e che gli hacker nordcoreani hanno sfruttato per lanciare attacchi contro i ricercatori di sicurezza nel 2021.



3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti