微软臭名昭著的 Internet Explorer 被黑客们重新唤醒,他们利用其安全漏洞传播恶意软件。
根据 Check Point Research 的报告,研究人员发现了一种新的攻击方式,黑客利用这款古老的网页浏览器作为恶意软件感染的传播工具。攻击过程涉及使用一个具有诱惑性的文件,该文件会调用和利用 IE 来传递恶意软件载荷。
研究人员向 CyberRisk Alliance 表示,这种攻击可在标准的 Windows 11 安装中运行,而不需要任何配置更改。
“尤其令人惊讶的是,这种攻击利用了 Internet Explorer,许多用户可能甚至没有意识到它仍然在他们的计算机上,从而执行攻击,”Check Point Research 小组经理 Eli Smadja 表示。
“且这种攻击已经持续超过一年,目前依旧活跃。”
攻击的开始是一个伪装成普通 PDF 的 url 文件。目标用户以为将使用 Edge 打开该文件,而 Edge 是微软最新一代增强安全性的浏览器。
但实际上,url 文件类型会指向一个 URL,并使 Windows 以类似书签或单独共享超链接的方式打开网页。
通常情况下,这个 url 文件会导致用 Edge 打开网页。然而,在这个案例中,目标 URL 被操控以利用最初在 CVE202140444 安全缺陷中提出的概念。通过 ‘mhtml’ 这一技巧,URL 能够在 Internet Explorer 中打开网页。
尽管 IE 已被逐渐淘汰,并正式被基于 Chromium 的 Edge 浏览器取代,但它仍然作为支持某些特定旧版应用程序的一部分存在于 Windows 中。微软仍然保持安全更新,但即使在 IE 是 Windows 主要浏览器的时候,它也以存在 ActiveX 插件系统中安全漏洞而闻名。
攻击过程的最后一步发生在这里。恶意 URL 执行一个脚本,下载并安装恶意软件载荷。虽然 Windows 会发出对打开外部应用程序的文件的警告,但这些警告往往被用户视为查看 PDF 的常规提示而不予重视。
npv加速器“对于担心安全的 Windows 用户,我们建议特别对来自不可信来源的 url 文件保持警惕,”Check Point 研究员 Haifei Li 指出。
“正如我们所讨论的,这种攻击需要用户进行几次交互才得以成功。”
幸运的是,可以采取措施进行修复。Check Point 表示,七月份的 Patch Tuesday 安全更新包含了一个补丁,能够防止 url 文件自动访问和利用受影响的 IE 组件。
