Home أخبار تم استخدام Windows MSHTML zero-day في هجمات البرامج الضارة لأكثر من عام

تم استخدام Windows MSHTML zero-day في هجمات البرامج الضارة لأكثر من عام

12
0

قامت شركة مايكروسوفت بإصلاح ثغرة أمنية جديدة في نظام التشغيل Windows تم استغلالها بشكل نشط في هجمات لمدة ثمانية عشر شهرًا لتشغيل البرامج النصية الضارة أثناء تجاوز ميزات الأمان المضمنة.

الخلل، الذي تم تعقبه باسم CVE-2024-38112، هو مشكلة تزوير MHTML عالية الخطورة تم إصلاحها خلال تحديثات الأمان Patch Tuesday لشهر يوليو 2024.

اكتشفت Haifei Li من Check Point Research الثغرة الأمنية وأبلغت عنها لشركة Microsoft في مايو 2024.

ومع ذلك، أشار الباحث في تقرير لي إلى أنهم اكتشفوا عينات تستغل هذا الخلل منذ يناير 2023.

لقد اختفى Internet Explorer، ولكن ليس حقًا

اكتشفت Haifei Li أن الجهات الفاعلة في مجال التهديد كانت تقوم بتوزيع ملفات اختصار الإنترنت لنظام التشغيل Windows (.url) لتزييف الملفات التي تبدو شرعية، مثل ملفات PDF، ولكنها تقوم بتنزيل وتشغيل ملفات HTA لتثبيت برامج ضارة تسرق كلمات المرور.

ملف اختصار الإنترنت هو ببساطة ملف نصي يحتوي على إعدادات تكوين مختلفة، مثل الرمز الذي سيتم عرضه، والرابط الذي سيتم فتحه عند النقر المزدوج عليه، وغير ذلك من المعلومات. عند حفظه كملف .url والنقر المزدوج عليه، سيفتح Windows عنوان URL الذي تم تكوينه في متصفح الويب الافتراضي.

ومع ذلك، اكتشف الجناة أنهم قادرون على إجبار Internet Explorer على فتح عنوان URL المحدد باستخدام معالج URI mhtml: في توجيه URL، كما هو موضح أدناه.

محتويات ملف URL
المصدر: تشيك بوينت

MHTML هو ملف ‘تغليف MIME لمستندات HTML المجمعة’، وهي تقنية تم تقديمها في Internet Explorer والتي تقوم بتغليف صفحة ويب بأكملها، بما في ذلك صورها، في أرشيف واحد.

عندما يتم تشغيل عنوان URL باستخدام URI mhtml:، يقوم Windows تلقائيًا بتشغيله في Internet Explorer بدلاً من المتصفح الافتراضي.

وبحسب باحث الثغرات الأمنية ويل دورمان، فإن فتح صفحة ويب في متصفح Internet Explorer يقدم فوائد إضافية لمرتكبي التهديدات، حيث تكون هناك تحذيرات أمنية أقل عند تنزيل الملفات الضارة.

“أولاً، سيسمح لك IE بتنزيل ملف .HTA من الإنترنت دون سابق إنذار”، كما أوضح دورمان على Mastodon.

“بعد ذلك، بمجرد تنزيله، سيتواجد ملف .HTA في دليل INetCache، لكنه لن يحتوي على MotW صراحةً. في هذه المرحلة، الحماية الوحيدة التي يتمتع بها المستخدم هي تحذير مفاده أن “موقع ويب” يريد فتح محتوى الويب باستخدام برنامج على الكمبيوتر.”

“دون ذكر الموقع الإلكتروني. إذا اعتقد المستخدم أنه يثق في “هذا” الموقع الإلكتروني، فعندئذٍ يحدث تنفيذ التعليمات البرمجية.”

في الأساس، يستغل الجناة حقيقة أن Internet Explorer لا يزال مضمنًا بشكل افتراضي على أنظمة التشغيل Windows 10 وWindows 11.

على الرغم من إعلان شركة Microsoft عن إيقاف متصفحها منذ عامين تقريبًا واستبداله بمتصفح Edge في جميع الوظائف العملية، إلا أنه لا يزال من الممكن استدعاء هذا المتصفح القديم والاستفادة منه لأغراض ضارة.

وتقول شركة Check Point إن الجهات الفاعلة في مجال التهديد تقوم بإنشاء ملفات اختصار إنترنت مع فهرس الأيقونات لجعلها تبدو كروابط إلى ملف PDF.

عند النقر عليها، سيتم فتح صفحة الويب المحددة في برنامج Internet Explorer، الذي يحاول تلقائيًا تنزيل ما يبدو أنه ملف PDF ولكنه في الواقع ملف HTA.

يقوم Internet Explorer بتنزيل ملف HTA مزيف كملف PDF
المصدر: تشيك بوينت

ومع ذلك، يمكن لمرتكبي التهديد إخفاء امتداد HTA وجعله يبدو وكأن ملف PDF يتم تنزيله عن طريق ملء اسم الملف بأحرف Unicode حتى لا يتم عرض امتداد .hta، كما هو موضح أدناه.

ملف HTA يستخدم حشو أحرف Unicode لإخفاء امتداد .hta
المصدر: BleepingComputer

عندما يقوم برنامج Internet Explorer بتنزيل ملف HTA، فإنه يسألك عما إذا كنت ترغب في حفظه أو فتحه. وإذا قرر المستخدم فتح الملف معتقدًا أنه ملف PDF، نظرًا لأنه لا يحتوي على علامة الويب، فسوف يبدأ تشغيله مع تنبيه عام فقط حول فتح المحتوى من موقع ويب.

تحذير من Windows عند تشغيل Internet Explorer لملف HTA
المصدر: BleepingComputer

وبما أن الهدف يتوقع تنزيل ملف PDF، فقد يثق المستخدم بهذا التنبيه، ويتم السماح بتشغيل الملف.

أخبرت شركة Check Point Research موقع BleepingComputer أن السماح بتشغيل ملف HTA سيؤدي إلى تثبيت برنامج Atlantida Stealer الخبيث الذي يسرق كلمة المرور على الكمبيوتر.

بمجرد تنفيذه، سيقوم البرنامج الخبيث بسرقة جميع بيانات الاعتماد المخزنة في المتصفح، وملفات تعريف الارتباط، وسجل المتصفح، ومحافظ العملات المشفرة، وبيانات اعتماد Steam، وغيرها من البيانات الحساسة.

قامت Microsoft بإصلاح الثغرة الأمنية CVE-2024-38112 عن طريق إلغاء تسجيل mhtml: URI من Internet Explorer، بحيث يتم فتحه الآن في Microsoft Edge بدلاً من ذلك.

CVE-2024-38112 مشابه لـ CVE-2021-40444، وهي ثغرة أمنية يوم الصفر أساءت استخدام MHTML والتي استغلها قراصنة كوريا الشمالية لشن هجمات تستهدف الباحثين الأمنيين في عام 2021.

مصدر

LEAVE A REPLY

Please enter your comment!
Please enter your name here