Windows on red symbol

マイクロソフトは、18カ月前から攻撃で積極的に悪用されてきたウィンドウズのゼロデイ脆弱性を修正し、組み込みのセキュリティ機能を回避して悪意のあるスクリプトを起動できるようにした。

CVE-2024-38112として追跡されているこの欠陥は、2024年7月のパッチ・チューズデー・セキュリティ・アップデートで修正された、深刻度の高いMHTMLスプーフィングの問題である。

チェック・ポイント・リサーチのHaifei Li氏がこの脆弱性を発見し、2024年5月にマイクロソフト社に公表した。

しかし、Li氏のレポートでは、この欠陥を悪用するサンプルを2023年1月にも発見していると指摘している。

インターネット・エクスプローラーは消えたが、そうでもない

Haifei Liは、脅威行為者がWindows Internet Shortcut Files (.url)を配布し、PDFのような合法的に見えるファイルを偽装していることを発見しましたが、このファイルはHTAファイルをダウンロードして起動し、パスワードを盗むマルウェアをインストールします。

インターネットショートカットファイルは、どのアイコンを表示するか、ダブルクリックしたときにどのリンクを開くかなど、さまざまな設定情報を含むテキストファイルです。.urlファイルとして保存され、ダブルクリックされると、Windowsは設定されたURLをデフォルトのWebブラウザで開きます。

しかし、脅威行為者は、URLディレクティブ内のmhtml.URIハンドラを使用することで、Internet Explorerに指定されたURLを開かせることができることを発見した:URIハンドラを使用することで、Internet Explorerに指定されたURLを開かせることができることを発見した。

Contents of the URL file
URL ファイルの内容
チェック・ポイント

MHTMLは「MIME Encapsulation of Aggregate HTML Documents」ファイルで、Internet Explorerで導入された技術で、画像を含むウェブページ全体を1つのアーカイブにカプセル化する。

URLをmhtml.URIで起動すると、Windowsは自動的にそれを起動する:URIでURLを起動すると、Windowsは自動的にデフォルトのブラウザではなくInternet Explorerで起動する。

脆弱性研究者のウィル・ドーマンによると、インターネット・エクスプローラでウェブページを開くと、悪意のあるファイルをダウンロードする際のセキュリティ警告が少なくなるため、脅威行為者にとってさらなる利点があるという。

「まず、IEは警告なしにインターネットから.HTAファイルをダウンロードできるようにする」と、ドーマンはマストドンで説明している。

「次に、.HTAファイルがダウンロードされると、INetCacheディレクトリに保存されるが、MotWは明示されない。この時点で、ユーザーが持つ唯一の保護は、”あるウェブサイト “がコンピューター上のプログラムを使ってウェブ・コンテンツを開こうとしているという警告である。

“それがどのウェブサイトであるかを言わずに。ユーザーが “この “ウェブサイトを信頼すると信じるなら、コード実行が起こるのはこの時である。”

本質的に、脅威の行為者は、Windows 10とWindows 11にInternet Explorerがデフォルトで含まれているという事実を利用している。

マイクロソフトはおよそ2年前にその引退を発表し、すべての実用的な機能においてEdgeがそれに取って代わったにもかかわらず、この時代遅れのブラウザは依然として悪意のある目的のために起動され、活用される可能性がある。

チェック・ポイントによると、脅威の手口は、アイコンのインデックスが付いたインターネット・ショートカット・ファイルを作成し、PDFファイルへのリンクに見せかけるというものです。

クリックすると、指定されたWebページがInternet Explorerで開き、PDFファイルのように見えて実はHTAファイルであるものを自動的にダウンロードしようとします。

Internet Explorer downloading an HTA file spoofed as a PDF
PDF に偽装された HTA ファイルをダウンロードする Internet Explorer
Source:チェック・ポイント

しかし、脅威の実行者は、以下のようにファイル名をUnicode文字でパディングして拡張子.htaが表示されないようにすることで、HTA拡張子を隠し、PDFがダウンロードされているように見せかけることができます。

HTA file using Unicode character padding to hide .hta extension
.hta拡張子を隠すためにUnicode文字パディングを使用したHTAファイル
ソースは こちら:

Internet ExplorerがHTAファイルをダウンロードすると、保存するか開くかを尋ねます。Webのマークが含まれていないため、ユーザーがPDFだと思ってファイルを開くと、Webサイトからコンテンツが開いているという一般的なアラートだけが表示されて起動します。

Warning from Windows when Internet Explorer launches HTA file
Internet ExplorerがHTAファイルを起動したときのWindowsからの警告
ソースは こちら:

ターゲットがPDFのダウンロードを期待しているため、ユーザーはこの警告を信頼し、ファイルの実行が許可される可能性があります。

チェック・ポイントの調査によると、HTAファイルの実行を許可すると、パスワードを盗むマルウェア「Atlantida Stealer」がコンピュータにインストールされるとのことです。

このマルウェアが実行されると、ブラウザに保存されているすべての認証情報、クッキー、ブラウザの履歴、暗号通貨のウォレット、Steamの認証情報、その他の機密データが盗み出されます。

マイクロソフトは、Internet Explorerからmhtml.URIの登録を解除することで、CVE-2024-38112の脆弱性を修正した:Internet Explorerからmhtml:URIの登録を解除し、代わりにMicrosoft Edgeで開くようにしました。

CVE-2024-38112は、北朝鮮のハッカーが2021年にセキュリティ研究者を標的とした攻撃を開始するために活用した、MHTMLを悪用するゼロデイ脆弱性であるCVE-2021-40444と類似している。