Abbildung: Bösartige .url-Datei erscheint unter Windows 11 als Link zu einer PDF-Datei
Die Sicherheitsforscher von Check Point warnen vor der Schwachstelle CVE-2024-38112, mit deren Hilfe sich Hacker einen Zugriff auf Computer von Windows-10 und -11-Benutzern verschaffen können.
Check Point Research (CPR), die Threat-Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, warnt vor einem neuen Spoofing-Angriff durch Hacker, die Internet Explorer-Verknüpfungsdateien nutzen, um Windows-Nutzer zur Ausführung von Remotecodezu verleiten. CPR empfiehlt Microsoft-Kunden einen sofortigen Patch.
Die Angreifer verwenden spezielle Windows-Internet-Verknüpfungsdateien (.url-Erweiterungen), dieden ausgedienten Internet Explorer (IE) aufriefen, um die vom Angreifer kontrollierte URL zu besuchen. Außerdem wenden sie einen zusätzlichen Trick im IEan, um den bösartigen“.hta”-Erweiterungsnamen zu verbergen. Durch das Öffnen der URL mit dem IE anstelle des modernen und viel sichereren Edge-Browsers unter Windows sicherten sichAngreifer erhebliche Vorteile, obwohl auf den Computern der Opfer ein modernes Windows-Betriebssystem läuft.
Es ist nicht ungewöhnlich, dass Hacker die .url-Dateien als ersten Angriffsvektor für ihre Kampagnen verwenden. Sogar neue oder Zero-Day-Schwachstellen im Zusammenhang mit URL-Dateien wurden bereits ausgenutzt. Ein gutes Beispiel dafür ist die CVE-2023-36025, die erst im vergangenen November geschlossen wurde.
Die von CPR entdeckten bösartigen .url-Samples könnten bereits von Januar 2023 bis zum 13. Mai 2024 und darüber hinaus datiert werden. Dies deutet darauf hin, dass die Hacker die Angriffstechniken schon seit geraumer Zeit anwenden.
CPR empfiehlt Windows-Anwendern, bei .url-Dateien, die von nicht vertrauenswürdigen Quellen gesendet werden, wachsam zu sein. Dieser trickreiche Angriff ermöglicht es Angreifern, den IE (anstelle der sichereren Chrome-undEdge-Browser) zu nutzen. Er funktioniert auf zwei Arten:
- Der “mhtml”-Trick, der es dem Angreifer ermöglicht, den IE-Browser aufzurufen (oder wieder aufleben zu lassen).
- Der Benutzer wird dazu verleitet, eine vermeintliche PDF-Datei zu öffnen, bei der es sich jedoch in Wirklichkeit um eine gefährliche .hta-Anwendung handelt.