零日破绽 Windows 10 Windows IE 阅读器散发恶意文件 MSHTML 微软已修复 被曝 滥用 11

IT之家7 月 11 日信息，微软公司在 7 月补丁星期二发布的Windows 10、Windows 11系统累积更新中，修复了追踪编号为 CVE-2024-38112 的零日破绽。

该零日破绽由 Check Point Research 的安保专家李海飞（Haifei Li，音译）于 2023 年 1 月发现，是一个高度重大的 MHTML 诈骗疑问，有证据标明有黑客在过去 18 个月里，应用该破绽动员恶意攻打，可以绕过 Windows 10、Windows 11 系统的安保性能。

该专家发现网络攻打者经过散发 Windows Internet 快捷模式文件（.url），以诈骗 PDF 等看起来非法的文件，用户一旦点开这些文件，就会下载并启动 HTA 以装置明码窃取恶意软件。

Internet 快捷模式文件只是一个文本文件，其中蕴含各种性能设置，如显示什么图标、双击时关上什么链接等信息。保留为 .url 文件并双击后，Windows 将在自动网络阅读器中关上性能的 URL。

不过攻打者发现可以经过在 URL 指令中经常使用 mhtml: URI 处置程序，来强迫 Internet Explorer 关上指定的 URL，如下图所示：

IT之家注：MHTML 是一种 "聚合 HTML 文档的 MIME 封装" 文件，是 Internet Explorer 中引入的一种技术，可将包括图像在内的整个网页封装成一个繁多的档案。

攻打者经常使用 mhtml: URI 启动 URL 后，Windows 会智能在 Internet Explorer 中启动 URL，而不是自动阅读器。

破绽钻研人员 Will Dormann 称，在 Internet Explorer 中关上网页会给攻打者带来额外的好处，下载恶意文件时安保正告较少。

虽然微软早在两年前就发表中止允许该阅读器，并以 Edge 替代其一切适用性能，但这款过期的阅读器仍可被恶意调用和应用。