Pesquisadores da Check Point Research (CPR) alertam sobre um novo ataque de falsificação realizado por agentes de ameaças que estão utilizando arquivos de atalho do Internet Explorer para atrair usuários do Windows 10/11 e executar código remoto. A equipe da CPR recomenda que os usuários/clientes da Microsoft apliquem os patches imediatamente.
Os cibercriminosos estão "explorando" o Internet Explorer em novo ataque de falsificação de Dia Zero (vulnerabilidade CVE-2024-38112). As principais descobertas dos pesquisadores da Check Point Software sobre isto foram:
• Atacantes estão atraindo usuários do Windows 10/11 a habilitar a execução remota de código e acessar seus computadores.
• Essa vulnerabilidade tem sido explorada em ambientes reais há mais de um ano, potencialmente afetando milhões de usuários.
• A CPR revelou a vulnerabilidade à Microsoft em maio de 2024; a Microsoft publicou os patches em 9 de julho de 2024.
• A CPR recomenda que os usuários façam atualizações e apliquem patches regulares em todos os softwares para garantir a máxima proteção contra ameaças cibernéticas.
Os pesquisadores da CPR apontaram que os atacantes estão utilizando truques novos (ou desconhecidos anteriormente) para atrair usuários do Windows, a fim de realizarem execução remota de código. Especificamente, os atacantes usaram arquivos especiais de Atalho da Internet do Windows (extensão[.]url) que, quando clicados, chamariam o "aposentado" Internet Explorer (IE) para visitar a URL controlada pelo atacante. Um truque adicional no IE foi usado para esconder a extensão maliciosa "[.]hta".
Ao abrir a URL com o Internet Explorer, em vez dos navegadores modernos e muito mais seguros como o Chrome ou Edge no Windows, o atacante ganhou vantagens significativas para explorar o computador da vítima, mesmo que o computador esteja rodando o moderno sistema operacional Windows 10/11.
Uma observação relevantes dos pesquisadores da CPR: não é incomum que agentes de ameaças usem arquivos [.]url como um vetor de ataque inicial em suas campanhas. Até mesmo o uso de vulnerabilidades novas ou de dia zero relacionadas a arquivos [.]url já aconteceu anteriormente — a vulnerabilidade CVE-2023-36025, que foi corrigida em novembro de 2023, é um bom exemplo disso.
Os arquivos [.]url maliciosos descobertos pela CPR datam de janeiro de 2023 até 13 de maio de 2024. Isso sugere que os cibercriminosos estão usando essas técnicas de ataque há bastante tempo.
Os pesquisadores da Check Point Software recomendam que os usuários do Windows permaneçam atentos quanto a arquivos [.]url enviados de fontes não confiáveis. Este ataque permite que os cibercriminosos utilizem o Internet Explorer (IE), em vez dos navegadores mais seguros atuais como Chrome e Edge.
Basicamente, o ataque funciona de duas maneiras:
• O truque "mhtml" que permite ao atacante chamar (ou "ressuscitar") o navegador IE;
• Enganar o usuário para que abrir o que ele pensará ser um arquivo PDF, mas, na verdade, será um aplicativo perigoso [.]hta.
Soluções para defesa e mitigação
A Check Point Software lançou meses atrás (antes desta divulgação) as seguintes proteções em seus produtos IPS e na solução Harmony Email and Collaboration: a assinatura IPS chamada "Execução Remota de Código em Arquivos de Atalho da Internet" (em inglês, "Internet Shortcut File Remote Code Execution") para clientes protegerem-se contra esse ataque de dia zero.
Além disso, os usuários do Windows devem instalar imediatamente o patch da Microsoft.