Lỗ hổng zero-day trong Internet Explorer

www.tuoitre.vn -   15/07/2024 08:00:00 89

Một lỗ hổng bảo mật zero-day thường bị tin tặc khai thác đã được phát hiện trong Internet Explorer — trình duyệt mà Microsoft được cho là đã ngừng hoạt động cách đây hơn một năm.

Lỗ hổng zero-day trong Internet Explorer

Trong khuôn khổ Bản vá thứ Ba mới nhất, Microsoft đã phát hành bản vá cho 142 lỗ hổng. Trong số đó có bốn lỗ hổng zero-day. Trong khi hai lỗ hổng đã được công khai, hai lỗ hổng còn lại đã bị các tác nhân độc hại khai thác tích cực.

Thật thú vị, một trong những lỗ hổng zero-day này, được cho là đã được sử dụng để đánh cắp mật khẩu trong 18 tháng qua, đã được tìm thấy trong Internet Explorer. Đúng vậy — chính trình duyệt mà Microsoft đã ngừng phát triển vào năm 2015 và hứa sẽ chôn vùi hoàn toàn, chắc chắn, chắc chắn vào tháng 2 năm 2023. Thật không may, bệnh nhân tỏ ra rất cứng đầu — chống lại đám tang của chính mình.

Tại sao Internet Explorer không chết như chúng ta mong muốn

Microsoft đã không xóa trình duyệt khỏi hệ thống mà chỉ vô hiệu hóa nó (và thậm chí sau đó, không phải trong tất cả các phiên bản Windows).

Trên thực tế, điều này có nghĩa là Internet Explorer vẫn ẩn núp trong hệ thống; người dùng không thể khởi chạy nó như một trình duyệt độc lập. Do đó, bất kỳ lỗ hổng mới nào được tìm thấy trong trình duyệt được cho là đã ngừng hoạt động này vẫn có thể gây ra mối đe dọa cho người dùng Windows — ngay cả những người đã không chạm vào Internet Explorer trong nhiều năm.

CVE-2024-38112: lỗ hổng trong Windows MSHTML

Bây giờ chúng ta hãy nói về lỗ hổng được phát hiện CVE-2024-38112. Đây là một lỗ hổng trong công cụ trình duyệt MSHTML, công cụ hỗ trợ Internet Explorer. Lỗ hổng này được đánh giá 7,5 trên 10 theo thang điểm CVSS 3 và mức độ nghiêm trọng "cao".

Để khai thác lỗ hổng, kẻ tấn công cần tạo một tệp độc hại ở định dạng lối tắt internet có vẻ vô hại (.url, Tệp lối tắt Internet Windows), chứa liên kết có tiền tố mhtml. Khi người dùng mở tệp này, Internet Explorer — có cơ chế bảo mật không tốt lắm — sẽ được khởi chạy thay vì trình duyệt mặc định.

Kẻ tấn công đã khai thác CVE-2024-38112 như thế nào

Để hiểu rõ hơn về cách lỗ hổng này hoạt động, hãy cùng xem cuộc tấn công mà nó được phát hiện. Mọi chuyện bắt đầu bằng việc người dùng được gửi một tệp .url có biểu tượng được sử dụng cho PDF và phần mở rộng kép .pdf.url.

Bên trong tệp .url độc hại, bạn có thể thấy một liên kết có tiền tố mhtml "dễ bị tấn công". Hai dòng cuối cùng có nhiệm vụ thay đổi biểu tượng thành biểu tượng được sử dụng cho PDF. Nguồn

Do đó, đối với người dùng, tệp này trông giống như một phím tắt đến PDF — một thứ có vẻ vô hại. Nếu người dùng nhấp vào tệp, lỗ hổng CVE-2024-38112 sẽ bị khai thác. Do có tiền tố mhtml trong tệp .url, tệp này sẽ mở trong Internet Explorer thay vì trình duyệt mặc định của hệ thống.

Vấn đề là trong hộp thoại tương ứng, Internet Explorer hiển thị tên của cùng một tệp .url giả vờ là một phím tắt PDF. Vì vậy, có thể cho rằng sau khi nhấp vào "Mở", một tệp PDF sẽ được hiển thị. Tuy nhiên, trên thực tế, phím tắt sẽ mở một liên kết tải xuống và khởi chạy một tệp HTA.

Đây là một ứng dụng HTML, một chương trình trong một trong những ngôn ngữ kịch bản do Microsoft phát minh. Không giống như các trang web HTML thông thường, các tập lệnh như vậy chạy như các ứng dụng đầy đủ và có thể thực hiện nhiều việc — ví dụ, chỉnh sửa tệp hoặc sổ đăng ký Windows. Tóm lại, chúng rất nguy hiểm.

Khi tệp này được khởi chạy, Internet Explorer sẽ hiển thị một cảnh báo không cung cấp nhiều thông tin ở định dạng quen thuộc với người dùng Windows, mà nhiều người sẽ bỏ qua.

Khởi chạy tệp HTA độc hại

Thay vì mở tệp PDF, một HTA (Ứng dụng HTML) độc hại được khởi chạy, kèm theo cảnh báo Internet Explorer không cung cấp thông tin. Nguồn

Khi người dùng nhấp vào “Cho phép”, phần mềm độc hại ăn cắp thông tin sẽ được khởi chạy trên máy tính của người dùng, thu thập mật khẩu, cookie, lịch sử duyệt web, khóa ví tiền điện tử và các thông tin có giá trị khác được lưu trữ trong trình duyệt và gửi chúng đến máy chủ của kẻ tấn công.

Cách bảo vệ chống lại CVE-2024-38112

Microsoft đã vá lỗ hổng này. Việc cài đặt bản cập nhật đảm bảo rằng thủ thuật với mhtml trong các tệp .url sẽ không còn hiệu quả nữa và các tệp như vậy sẽ mở trong trình duyệt Edge an toàn hơn từ nay trở đi.

Tuy nhiên, sự cố này một lần nữa nhắc nhở chúng ta rằng trình duyệt “đã chết” sẽ tiếp tục ám ảnh người dùng Windows trong tương lai gần. Về vấn đề đó, nên cài đặt ngay tất cả các bản cập nhật liên quan đến Internet Explorer và công cụ MSHTML. Cũng như sử dụng các giải pháp bảo mật đáng tin cậy trên tất cả các thiết bị Windows.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 50
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 57
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 53
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 81
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 57
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 83
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

LIÊN HỆ

Thông tin liên hệ