微软修复 Internet Explorer 中被网络犯罪分子滥用一年多的零日漏洞

2022年，微软正式将InternetExplorer作为独立应用程序"退休"。雷德蒙德公司不再支持Windows中的IE，但在最新发布的Windows11中仍包含了这个古老浏览器的引擎。而这正是网络犯罪分子在其活动中仍然喜欢瞄准的安全风险。

微软最新的"星期二补丁"更新包括对InternetExplorer浏览器引擎零日漏洞的修复。该漏洞被追踪为CVE-2024-38112，自2023年1月以来一直被未知犯罪分子利用，诱骗用户在本地未受保护的机器上运行恶意代码。

CVE-2024-38112漏洞最早由CheckPoint研究人员发现，微软将其描述为WindowsMSHTML平台欺骗漏洞。MSHTML也被称为Trident，是InternetExplorer使用的专有浏览器引擎。Windows11不再使用该浏览器，但上述引擎仍包含在操作系统中，微软计划至少在2029年前支持该引擎。

CVE-2024-38112的严重性评级为7.0（满分10分），攻击者需要采取额外行动才能确保成功利用该漏洞。微软警告说，威胁行为者必须诱使受害者下载并执行恶意文件，而用户成为攻击目标、受到攻击和实际被入侵似乎已经有一年多的时间了。

CheckPoint分析师警告说，IE引擎不安全且已过时，针对CVE-2024-38112设计的零日漏洞利用者使用了一些巧妙的技巧来伪装他们实际想要达到的目的。犯罪分子使用一个恶意URL链接，看似打开一个PDF文档，然后在InternetExplorer模式下打开Edge浏览器(msedge.exe)。

在调用MSHTML后，犯罪分子本可以利用一些与IE相关的零日漏洞，立即获得远程代码执行权限。然而，CheckPoint发现的恶意样本并不包括IE引擎中任何以前未知的缺陷。相反，他们使用了另一种新奇的伎俩，打开一个对话框，要求用户保存一个PDF文件。

PDF扩展名被用来伪装恶意HTA文件，这是一个从HTML文档中调用的可执行程序，通过一个名为MicrosoftHTMLApplicationHost(mshta.exe)的工具在Windows上运行。CheckPoint说，事实上，CVE-2024-38112攻击的总体目标是让受害者相信他们正在打开一个PDF文件。该公司发现并散列了该活动中使用的六个恶意.url文件，建议Windows用户尽快安装最新的"补丁星期二"更新。