Неодамна Microsoft објави „закрпи“ за неколку пропусти на Zero Day, а една од нив се однесува на одамна заборавениот Internet Explorer.
Инаку, Microsoft се збогуваше со Explorer во 2015 година, но не го отстрани, туку само го оневозможи во оперативните системи Windows.
Во пракса, ова значи дека Internet Explorer сè уште демне внатре во системот иако корисниците не можат да го стартуваат како самостоен прелистувач. Поради ова, секоја нова пропустливост пронајдена во овој нефункционален прелистувач сè уште може да претставува закана за корисниците на Windows, дури и за оние кои не го отвориле Internet Explorer со години.
Ранливоста за која станува збор овде е означена со CVE-2024-38112. Тоа е грешка во MSHTML моторот, кој работи на Internet Explorer. Ранливоста има оцена од 7,5 од 10 на скалата CVSS 3 и „високо“ ниво на сериозност.
За да ја искористат ранливоста, напаѓачите мора да создадат злонамерна датотека што содржи врска со префикс mhtml. Кога корисникот ќе ја отвори оваа датотека, наместо стандардниот прелистувач, стартува Internet Explorer, чии безбедносни механизми не се многу добри, велат од антивирусната компанија Kaspersky.
Како напаѓачите го искористија CVE-2024-38112?
Нападот започнува со испраќање на корисникот датотека .url со икона што се користи за PDF датотеки и двојна екстензија .pdf.url. За корисникот, оваа датотека изгледа како кратенка до PDF, затоа, навидум безопасна. Ако корисникот кликне на датотеката, ранливоста CVE-2024-38112 се експлоатира. Поради префиксот mhtml во датотеката .url, тој се отвора во Internet Explorer, а не во стандардниот прелистувач на системот.
Проблемот е што во соодветниот дијалог, Internet Explorer го прикажува името на истата датотека .url преправајќи се дека е кратенка на PDF. Затоа, логично е да се претпостави дека по кликнување на „Отвори“ ќе се прикаже PDF-от. Меѓутоа, во реалноста, кратенката отвора врска што ја презема и ја извршува датотеката HTA.
Кога оваа датотека се извршува, Internet Explorer прикажува не толку информативно предупредување во формат познат на корисниците на Windows, што многумина едноставно ќе го отфрлат.
Кога корисникот ќе кликне на „Дозволи“, малициозниот софтвер за крадење информации работи на компјутерот, собира лозинки, колачиња, историја на прелистување, клучеви од крипто-паричник и други вредни информации складирани во прелистувачот и ги испраќа до серверот на напаѓачот.
Како да се заштитите од CVE-2024-38112?
Microsoft веќе ја закрпи оваа ранливост. Инсталирањето на ажурирањето осигурува дека трикот со mhtml во .url-датотеките повеќе не функционира и дека таквите датотеки се отвораат во побезбедниот прелистувач Edge.
Сепак, овој инцидент е уште еден потсетник дека „покојниот“ прелистувач ќе продолжи да ги прогонува корисниците на Windows уште некое време. Затоа, се препорачува веднаш да ги инсталирате сите ажурирања поврзани со Internet Explorer и MSHTML моторот, како и да користите сигурни безбедносни решенија на уредите со Windows.