Lỗ hổng zero-day trong Internet Explorer
Một lỗ hổng bảo mật zero-day thường bị tin tặc khai thác đã được phát hiện trong Internet Explorer — trình duyệt mà Microsoft được cho là đã ngừng hoạt động cách đây hơn một năm.
Trong khuôn khổ Bản vá thứ Ba mới nhất, Microsoft đã phát hành bản vá cho 142 lỗ hổng. Trong số đó có bốn lỗ hổng zero-day. Trong khi hai lỗ hổng đã được công khai, hai lỗ hổng còn lại đã bị các tác nhân độc hại khai thác tích cực.
Thật thú vị, một trong những lỗ hổng zero-day này, được cho là đã được sử dụng để đánh cắp mật khẩu trong 18 tháng qua, đã được tìm thấy trong Internet Explorer. Đúng vậy — chính trình duyệt mà Microsoft đã ngừng phát triển vào năm 2015 và hứa sẽ chôn vùi hoàn toàn, chắc chắn, chắc chắn vào tháng 2 năm 2023. Thật không may, bệnh nhân tỏ ra rất cứng đầu — chống lại đám tang của chính mình.
Tại sao Internet Explorer không chết như chúng ta mong muốn
Microsoft đã không xóa trình duyệt khỏi hệ thống mà chỉ vô hiệu hóa nó (và thậm chí sau đó, không phải trong tất cả các phiên bản Windows).
Trên thực tế, điều này có nghĩa là Internet Explorer vẫn ẩn núp trong hệ thống; người dùng không thể khởi chạy nó như một trình duyệt độc lập. Do đó, bất kỳ lỗ hổng mới nào được tìm thấy trong trình duyệt được cho là đã ngừng hoạt động này vẫn có thể gây ra mối đe dọa cho người dùng Windows — ngay cả những người đã không chạm vào Internet Explorer trong nhiều năm.
CVE-2024-38112: lỗ hổng trong Windows MSHTML
Bây giờ chúng ta hãy nói về lỗ hổng được phát hiện CVE-2024-38112. Đây là một lỗ hổng trong công cụ trình duyệt MSHTML, công cụ hỗ trợ Internet Explorer. Lỗ hổng này được đánh giá 7,5 trên 10 theo thang điểm CVSS 3 và mức độ nghiêm trọng "cao".
Để khai thác lỗ hổng, kẻ tấn công cần tạo một tệp độc hại ở định dạng lối tắt internet có vẻ vô hại (.url, Tệp lối tắt Internet Windows), chứa liên kết có tiền tố mhtml. Khi người dùng mở tệp này, Internet Explorer — có cơ chế bảo mật không tốt lắm — sẽ được khởi chạy thay vì trình duyệt mặc định.
Kẻ tấn công đã khai thác CVE-2024-38112 như thế nào
Để hiểu rõ hơn về cách lỗ hổng này hoạt động, hãy cùng xem cuộc tấn công mà nó được phát hiện. Mọi chuyện bắt đầu bằng việc người dùng được gửi một tệp .url có biểu tượng được sử dụng cho PDF và phần mở rộng kép .pdf.url.
Bên trong tệp .url độc hại, bạn có thể thấy một liên kết có tiền tố mhtml "dễ bị tấn công". Hai dòng cuối cùng có nhiệm vụ thay đổi biểu tượng thành biểu tượng được sử dụng cho PDF. Nguồn
Do đó, đối với người dùng, tệp này trông giống như một phím tắt đến PDF — một thứ có vẻ vô hại. Nếu người dùng nhấp vào tệp, lỗ hổng CVE-2024-38112 sẽ bị khai thác. Do có tiền tố mhtml trong tệp .url, tệp này sẽ mở trong Internet Explorer thay vì trình duyệt mặc định của hệ thống.
Vấn đề là trong hộp thoại tương ứng, Internet Explorer hiển thị tên của cùng một tệp .url giả vờ là một phím tắt PDF. Vì vậy, có thể cho rằng sau khi nhấp vào "Mở", một tệp PDF sẽ được hiển thị. Tuy nhiên, trên thực tế, phím tắt sẽ mở một liên kết tải xuống và khởi chạy một tệp HTA.
Đây là một ứng dụng HTML, một chương trình trong một trong những ngôn ngữ kịch bản do Microsoft phát minh. Không giống như các trang web HTML thông thường, các tập lệnh như vậy chạy như các ứng dụng đầy đủ và có thể thực hiện nhiều việc — ví dụ, chỉnh sửa tệp hoặc sổ đăng ký Windows. Tóm lại, chúng rất nguy hiểm.
Khi tệp này được khởi chạy, Internet Explorer sẽ hiển thị một cảnh báo không cung cấp nhiều thông tin ở định dạng quen thuộc với người dùng Windows, mà nhiều người sẽ bỏ qua.
Khởi chạy tệp HTA độc hại
Thay vì mở tệp PDF, một HTA (Ứng dụng HTML) độc hại được khởi chạy, kèm theo cảnh báo Internet Explorer không cung cấp thông tin. Nguồn
Khi người dùng nhấp vào “Cho phép”, phần mềm độc hại ăn cắp thông tin sẽ được khởi chạy trên máy tính của người dùng, thu thập mật khẩu, cookie, lịch sử duyệt web, khóa ví tiền điện tử và các thông tin có giá trị khác được lưu trữ trong trình duyệt và gửi chúng đến máy chủ của kẻ tấn công.
Cách bảo vệ chống lại CVE-2024-38112
Microsoft đã vá lỗ hổng này. Việc cài đặt bản cập nhật đảm bảo rằng thủ thuật với mhtml trong các tệp .url sẽ không còn hiệu quả nữa và các tệp như vậy sẽ mở trong trình duyệt Edge an toàn hơn từ nay trở đi.
Tuy nhiên, sự cố này một lần nữa nhắc nhở chúng ta rằng trình duyệt “đã chết” sẽ tiếp tục ám ảnh người dùng Windows trong tương lai gần. Về vấn đề đó, nên cài đặt ngay tất cả các bản cập nhật liên quan đến Internet Explorer và công cụ MSHTML. Cũng như sử dụng các giải pháp bảo mật đáng tin cậy trên tất cả các thiết bị Windows.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Liệu công cụ kiểm tra nội dung AI có đán...
Công cụ AI tạo sinh được bổ sung thêm tr...
Máy tính liên tục khởi động lại vì bản c...
Lỗ hổng ChatGPT macOS có thể kích hoạt p...
Phát hiện lỗi lạ gây ra hiệu suất thiếu ...
Mozilla đối mặt với khiếu nại về quyền...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Hướng dẫn cài đặt Kaspersky For Android với Kasper...
- Hướng dẫn cài đặt Kaspersky Safe Kids For Android ...
- Tại sao không tìm thấy các sản phẩm của Kaspersky ...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...