Η Check Point Research (CPR) προειδοποιεί για μια νέα επίθεση spoofing από δράστες που χρησιμοποιούν αρχεία συντόμευσης του Internet Explorer για να δελεάσουν τους χρήστες των Windows 10/11 για απομακρυσμένη εκτέλεση κώδικα. Η CPR συνιστά στους πελάτες της Microsoft να ανανεώσουν αμέσως την ενημερωμένη έκδοση κώδικα.
Table of Contents
Βασικά ευρήματα
- Οι δράστες δελεάζουν τους χρήστες των Windows 10/11 να ενεργοποιήσουν την απομακρυσμένη εκτέλεση κώδικα και να αποκτήσουν πρόσβαση στους υπολογιστές τους
- Αυτή η ευπάθεια χρησιμοποιείται για περισσότερο από ένα χρόνο, επηρεάζοντας δυνητικά εκατομμύρια χρήστες
- Η CPR αποκάλυψε την ευπάθεια στη Microsoft τον Μάιο του 2024. Η Microsoft δημοσίευσε ενημερώσεις κώδικα στις 9 Ιουλίου 2024
- Η CPR συνιστά στους χρήστες να επιδιορθώσουν και να ενημερώνουν τακτικά όλο το λογισμικό για να εξασφαλίσουν τη μεγαλύτερη δυνατή προστασία από απειλές στον κυβερνοχώρο
- Η CheckPoint κυκλοφόρησε τις ακόλουθες προστασίες στα IPS και HarmonyEmail, την υπογραφή IPS με το όνομα “InternetShortcutFileRemoteCodeExecution” για πελάτες μήνες πριν από αυτήν τη δημοσίευση, για προστασία από αυτήν την zero-dayεπίθεση.
- Το HarmonyEmailandCollaboration παρέχει ολοκληρωμένη ενσωματωμένη προστασία από αυτήν την zero-dayεπίθεση στο υψηλότερο επίπεδο ασφάλειας.
Επισκόπηση
Η Check Point Research ανακάλυψε πρόσφατα ότι οι φορείς απειλής χρησιμοποιούν νέα (ή προηγουμένως άγνωστα) κόλπα για να δελεάσουν τους χρήστες των Windows να επιτρέψουν την απομακρυσμένη εκτέλεση κώδικα.
Συγκεκριμένα, οι εισβολείς χρησιμοποίησαν ειδικά αρχεία συντόμευσης Internet Windows (όνομα επέκτασης .url), τα οποία, όταν έκανε σε αυτά κλικ ο χρήστης, καλούσαν τον αποσυρμένο Internet Explorer (IE) για να επισκεφθούν τη διεύθυνση URL που ελέγχεται από τον εισβολέα. Ένα πρόσθετο τέχνασμα στον IE χρησιμοποιήθηκε για να κρύψει το κακόβουλο όνομα επέκτασης “.hta”. Ανοίγοντας τη διεύθυνση URL με IE αντί για το σύγχρονο και πολύ πιο ασφαλές πρόγραμμα περιήγησης Chrome / Edge στα Windows, οπότε ο εισβολέας απέκτησε σημαντικά πλεονεκτήματα στην εκμετάλλευση του υπολογιστή του θύματος, αν και ο υπολογιστής εκτελεί το σύγχρονο λειτουργικό σύστημα Windows 10/11.
Λάβετε υπόψη ότι δεν είναι ασυνήθιστο για τους παράγοντες απειλής να χρησιμοποιούν αρχεία .url ως αρχικό φορέα επίθεσης στις καμπάνιες τους. Ακόμη και η χρήση νέων ευπαθειών ή ευπαθειών που σχετίζονται με αρχεία url μηδενικής ημέρας έχει συμβεί στο παρελθόν – το CVE-2023-36025, το οποίο μόλις επιδιορθώθηκε τον περασμένο Νοέμβριο, είναι ένα καλό παράδειγμα.
Τα κακόβουλα δείγματα .url που ανακαλύφθηκαν από τη CPR θα μπορούσαν να χρονολογηθούν ήδη από τον Ιανουάριο του 2023 έως τις 13 Μαΐου 2024 και μετά. Αυτό υποδηλώνει ότι οι φορείς απειλής χρησιμοποιούν τις τεχνικές επίθεσης εδώ και αρκετό καιρό.
Για την πλήρη ανάλυση αυτής της επίθεσης, επισκεφθείτε το blog CPR.
Άμυνα και μετριασμός
Αυτά τα κόλπα εκμετάλλευσης – τα οποία χρησιμοποιούνται ενεργά για τουλάχιστον ένα χρόνο, λειτουργούν στα πιο πρόσφατα λειτουργικά συστήματα Windows 10/11.
Η Check Point κυκλοφόρησε τις ακόλουθες προστασίες στο IPS και το Harmony Email πριν από μήνες για να διασφαλίσει ότι οι πελάτες παραμένουν προστατευμένοι: Υπογραφή IPS με το όνομα “Internet Shortcut File Remote Code Execution“. Οι χρήστες των Windows θα πρέπει να εγκαταστήσουν αμέσως την ενημερωμένη έκδοση κώδικα της Microsoft.
Συμπέρασμα
Η CPR συνιστά στους χρήστες των Windows να παραμένουν σε εγρήγορση σχετικά με τα αρχεία .url που αποστέλλονται από μη αξιόπιστες πηγές. Αυτή η δύσκολη επίθεση επιτρέπει στους επιτιθέμενους να αξιοποιήσουν τον IE (αντί για τα πιο ασφαλή προγράμματα περιήγησης Chrome / Edge). Λειτουργεί με δύο τρόπους
- Το τέχνασμα “mhtml” που επιτρέπει στον εισβολέα να καλέσει (ή να αναστήσει) το πρόγραμμα περιήγησης IE
- Εξαπατά τον χρήστη να ανοίξει αυτό που νομίζει ότι είναι PDF, αλλά στην πραγματικότητα είναι μια επικίνδυνη εφαρμογή .hta