Microsoft solucionó una vulnerabilidad Zero-Day de Windows que se ha explotado
activamente en ataques durante dieciocho meses para lanzar
scripts maliciosos y eludir las funciones de seguridad integradas.
La falla, identificada como
CVE-2024-38112, es un problema de suplantación de identidad MHTML de alta gravedad que se
solucionó durante las actualizaciones de seguridad del martes de parches de julio de 2024.
Haifei Li de Check Point Research descubrió la vulnerabilidad y la reveló a
Microsoft en mayo de 2024. Sin embargo, en un informe de Li, el investigador
señala que han descubierto
muestras que explotan este defecto ya en enero de 2023.
Haifei Li descubrió que los actores de amenazas han estado distribuyendo
archivos de acceso directo a Internet de Windows (.URL) para falsificar
archivos que parecen legítimos, como archivos PDF, pero que descargan y
ejecutan archivos HTA para instalar malware que roba contraseñas.
Un archivo de acceso directo a Internet es simplemente un archivo de texto que
contiene varios ajustes de configuración, como qué icono mostrar, qué enlace
abrir al hacer doble clic y otra información. Cuando se guarda como un archivo
.URL y se hace doble clic, Windows abrirá la URL configurada en el navegador
web predeterminado.
Sin embargo, los actores de la amenaza descubrieron que podían obligar a
Internet Explorer a abrir la URL especificada utilizando el controlador
URL=mhtml:URI en la directiva URL, como se muestra a continuación.
MHTML es un archivo de
«encapsulación MIME de documentos HTML agregados», una tecnología
introducida en Internet Explorer que encapsula una página web completa,
incluidas sus imágenes, en un solo archivo.
Cuando la URL se inicia con el URI=mhtml:, Windows la inicia
automáticamente en Internet Explorer en lugar del navegador predeterminado.
Según el investigador de vulnerabilidades Will Dormann, abrir una página web
en Internet Explorer ofrece beneficios adicionales a los actores de amenazas,
ya que hay menos advertencias de seguridad al descargar archivos maliciosos.
«En primer lugar, IE le permitirá descargar un archivo .HTA de Internet sin
previo aviso»,
explicó Dormann en Mastodon.
A continuación, una vez descargado, el archivo .HTA vivirá en el directorio
INetCache, pero NO tendrá explícitamente un MotW (Mark of the Web). En
este punto, la única protección que tiene el usuario es una advertencia de que
«un sitio web» quiere abrir contenido web, usando un programa en la
computadora, sin decir qué sitio web es. Si el usuario cree que confía en
«este» sitio web, es cuando ocurre la ejecución del código.
Básicamente, los actores de amenazas aprovechan el hecho de que Internet
Explorer todavía está incluido de forma predeterminada en Windows 10 y
Windows 11.
A pesar de que
Microsoft anunció su retiro
hace aproximadamente dos años y que Edge lo reemplazó en todas las funciones
prácticas, el navegador obsoleto aún se puede invocar y aprovechar con fines
maliciosos.
Check Point dice que los actores de amenazas están creando archivos de acceso
directo a Internet con íconos para que aparezcan como enlaces a un archivo
PDF. Al hacer clic, la página web especificada se abrirá en Internet Explorer,
que automáticamente intenta descargar lo que parece ser un archivo PDF pero en
realidad es un archivo HTA.
Sin embargo, los actores de amenazas pueden ocultar la extensión HTA y hacer
que parezca que se está descargando un PDF rellenando el nombre del archivo
con caracteres Unicode para que no se muestre la extensión
.hta. Cuando Internet Explorer descarga el archivo HTA, le
pregunta si desea guardarlo o abrirlo. Si un usuario decide abrir el archivo
pensando que es un PDF, ya que no contiene la marca que proviene de la web
(MotW), se iniciará solo con una alerta genérica sobre el contenido que se
abre desde un sitio web.
Como el objetivo espera descargar un PDF, el usuario puede confiar en esta
alerta y se permite la ejecución del archivo.
Check Point Research dijo que permitir la ejecución del archivo HTA instalaría
el malware
Atlantida Stealer
que roba contraseñas en la computadora. Una vez ejecutado, el malware robará
todas las credenciales almacenadas en el navegador, las cookies, el historial
del navegador, las carteras de criptomonedas, las credenciales de Steam y
otros datos confidenciales.
Microsoft solucionó la vulnerabilidad CVE-2024-38112 cancelando el registro
de URI mhtml: de Internet Explorer, por lo que ahora se abre en
Microsoft Edge.
CVE-2024-38112 es similar a
CVE-2021-40444, una vulnerabilidad Zero-Day que abusaba de MHTML y que los
delincuentes norcoreanos aprovecharon para lanzar ataques dirigidos
a investigadores de seguridad en 2021.
Fuente:
BC