Microsoft solucionó una vulnerabilidad de día cero de Windows que se ha explotado activamente en ataques durante dieciocho meses para lanzar scripts maliciosos y eludir las funciones de seguridad integradas.
La falla, identificada como CVE-2024-38112, es un problema de suplantación de identidad MHTML de alta gravedad que se solucionó durante las actualizaciones de seguridad del martes de parches de julio de 2024.
Haifei Li de Check Point Research descubrió la vulnerabilidad y la reveló a Microsoft en mayo de 2024.
Sin embargo, en un informe de Li, el investigador señala que han descubierto muestras que explotan este defecto ya en enero de 2023.
Internet Explorer desapareció, pero no realmente
Haifei Li descubrió que los actores de amenazas han estado distribuyendo archivos de acceso directo a Internet de Windows (.url) para falsificar archivos que parecen legítimos, como archivos PDF, pero que descargan y ejecutan archivos HTA para instalar malware que roba contraseñas.
Un archivo de acceso directo a Internet es simplemente un archivo de texto que contiene varios ajustes de configuración, como qué icono mostrar, qué enlace abrir al hacer doble clic y otra información. Cuando se guarda como un archivo .url y se hace doble clic, Windows abrirá la URL configurada en el navegador web predeterminado.
Sin embargo, los actores de amenazas descubrieron que podían obligar a Internet Explorer a abrir la URL especificada utilizando el controlador mhtml: URI en la directiva URL, como se muestra a continuación:
MHTML es un archivo de ‘encapsulación MIME de documentos HTML agregados‘, una tecnología introducida en Internet Explorer que encapsula una página web completa, incluidas sus imágenes, en un solo archivo.
Cuando la URL se inicia con el URI mhtml:, Windows la inicia automáticamente en Internet Explorer en lugar del navegador predeterminado.
Según el investigador de vulnerabilidades Will Dormann, abrir una página web en Internet Explorer ofrece beneficios adicionales a los actores de amenazas, ya que hay menos advertencias de seguridad al descargar archivos maliciosos.
«En primer lugar, IE le permitirá descargar un archivo .HTA de Internet sin previo aviso«, explicó Dormann en Mastodon.
«A continuación, una vez descargado, el archivo .HTA vivirá en el directorio INetCache, pero NO tendrá explícitamente un MotW. En este punto, la única protección que tiene el usuario es una advertencia de que «un sitio web» quiere abrir contenido web. usando un programa en la computadora.»
«Sin decir qué sitio web es. Si el usuario cree que confía en «este» sitio web, es cuando ocurre la ejecución del código«.
Básicamente, los actores de amenazas aprovechan el hecho de que Internet Explorer todavía está incluido de forma predeterminada en Windows 10 y Windows 11.
A pesar de que Microsoft anunció su retiro hace aproximadamente dos años y que Edge lo reemplazó en todas las funciones prácticas, el navegador obsoleto aún se puede invocar y aprovechar con fines maliciosos.
Check Point dice que los actores de amenazas están creando archivos de acceso directo a Internet con índices de íconos para que aparezcan como enlaces a un archivo PDF.
Al hacer clic, la página web especificada se abrirá en Internet Explorer, que automáticamente intenta descargar lo que parece ser un archivo PDF pero en realidad es un archivo HTA.
Internet Explorer descarga un archivo HTA falsificado como PDF
Sin embargo, los actores de amenazas pueden ocultar la extensión HTA y hacer que parezca que se está descargando un PDF rellenando el nombre del archivo con caracteres Unicode para que no se muestre la extensión .hta, como se muestra a continuación.
Archivo HTA que utiliza relleno de caracteres Unicode para ocultar la extensión .hta
Cuando Internet Explorer descarga el archivo HTA, le pregunta si desea guardarlo o abrirlo. Si un usuario decide abrir el archivo pensando que es un PDF, ya que no contiene la Marca de la Web, se iniciará solo con una alerta genérica sobre el contenido que se abre desde un sitio web.
Advertencia de Windows cuando Internet Explorer inicia el archivo HTA
Como el objetivo espera descargar un PDF, el usuario puede confiar en esta alerta y se permite la ejecución del archivo.
Check Point Research declaro que permitir la ejecución del archivo HTA instalaría el malware Atlantida Stealer que roba contraseñas en la computadora.
Una vez ejecutado, el malware robará todas las credenciales almacenadas en el navegador, las cookies, el historial del navegador, las carteras de criptomonedas, las credenciales de Steam y otros datos confidenciales.
Microsoft solucionó la vulnerabilidad CVE-2024-38112 cancelando el registro del URI mhtml: de Internet Explorer, por lo que ahora se abre en Microsoft Edge.
CVE-2024-38112 es similar a CVE-2021-40444, una vulnerabilidad de día cero que abusaba de MHTML y que los piratas informáticos norcoreanos aprovecharon para lanzar ataques dirigidos a investigadores de seguridad en 2021.
Fuente y redacción: underc0de.org
