MSHTML zero-day Windows digunakan dalam serangan malware selama lebih dari setahun

MSHTML zero-day Windows digunakan dalam serangan malware selama lebih dari setahun

Microsoft memperbaiki kerentanan zero-day Windows yang telah dieksploitasi secara aktif dalam serangan selama delapan belas bulan untuk meluncurkan skrip berbahaya sambil melewati fitur keamanan bawaan.

Kelemahannya, yang dilacak sebagai CVE-2024-38112adalah masalah spoofing MHTML tingkat tinggi yang diperbaiki selama Pembaruan keamanan Patch Tuesday Juli 2024.

Haifei Li dari Check Point Research menemukan kerentanan tersebut dan mengungkapkannya kepada Microsoft pada bulan Mei 2024.

Namun, dalam sebuah laporan oleh Lipeneliti mencatat bahwa mereka telah menemukan sampel yang mengeksploitasi kelemahan ini sejak Januari 2023.

Internet Explorer sudah tidak ada lagi, tapi tidak benar-benar ada

Haifei Li menemukan bahwa pelaku ancaman telah mendistribusikan Berkas Pintasan Internet Windows (.url) untuk memalsukan berkas yang tampak sah, seperti PDF, tetapi mengunduh dan meluncurkan berkas HTA untuk memasang malware pencuri kata sandi.

File Pintasan Internet hanyalah file teks yang berisi berbagai pengaturan konfigurasi, seperti ikon yang akan ditampilkan, tautan yang akan dibuka saat diklik dua kali, dan informasi lainnya. Saat disimpan sebagai file .url dan diklik dua kali, Windows akan membuka URL yang dikonfigurasi di peramban web default.

Namun, pelaku ancaman menemukan bahwa mereka dapat memaksa Internet Explorer untuk membuka URL yang ditentukan dengan menggunakan mhtml: Penanganan URI dalam direktif URL, seperti yang ditunjukkan di bawah ini.

Isi berkas URL
Isi berkas URL
Sumber: Check Point

MHTML adalah file 'Enkapsulasi MIME Dokumen HTML Agregat', sebuah teknologi yang diperkenalkan di Internet Explorer yang merangkum seluruh halaman web, termasuk gambarnya, ke dalam satu arsip.

Ketika URL diluncurkan dengan mhtml: URI, Windows secara otomatis meluncurkannya di Internet Explorer, bukan di browser default.

Menurut peneliti kerentanan Will Dormann, membuka halaman web di Internet Explorer menawarkan manfaat tambahan bagi pelaku ancaman, karena lebih sedikit peringatan keamanan saat mengunduh file berbahaya.

“Pertama, IE akan memungkinkan Anda mengunduh file .HTA dari internet tanpa peringatan,” dijelaskan Dormann di Mastodon.

“Selanjutnya, setelah diunduh, file .HTA akan berada di direktori INetCache, tetapi TIDAK akan secara eksplisit memiliki MotW. Pada titik ini, satu-satunya perlindungan yang dimiliki pengguna adalah peringatan bahwa “sebuah situs web” ingin membuka konten web menggunakan sebuah program di komputer.”

“Tanpa menyebutkan situs web mana itu. Jika pengguna yakin bahwa mereka mempercayai situs web “ini”, maka saat itulah eksekusi kode terjadi.”

Pada dasarnya, pelaku ancaman memanfaatkan fakta bahwa Internet Explorer masih disertakan secara default pada Windows 10 dan Windows 11.

Meskipun Microsoft mengumumkan pengunduran dirinya sekitar dua tahun yang lalu dan Edge menggantikannya dalam semua fungsi praktis, browser yang ketinggalan zaman itu masih dapat dipanggil dan dimanfaatkan untuk tujuan jahat.

Check Point mengatakan bahwa pelaku ancaman membuat file Pintasan Internet dengan indeks ikon untuk membuatnya muncul sebagai tautan ke file PDF.

Ketika diklik, halaman web yang ditentukan akan terbuka di Internet Explorer, yang secara otomatis mencoba mengunduh apa yang tampak seperti berkas PDF tetapi sebenarnya berkas HTA.

Internet Explorer mengunduh file HTA yang dipalsukan sebagai PDF
Internet Explorer mengunduh file HTA yang dipalsukan sebagai PDF
Sumber: Check Point

Namun, pelaku ancaman dapat menyembunyikan ekstensi HTA dan membuatnya tampak seperti PDF yang sedang diunduh dengan menambahkan karakter Unicode pada nama file sehingga ekstensi .hta tidak ditampilkan, seperti yang ditunjukkan di bawah ini.

File HTA menggunakan bantalan karakter Unicode untuk menyembunyikan ekstensi .hta
File HTA menggunakan bantalan karakter Unicode untuk menyembunyikan ekstensi .hta
Sumber: BleepingComputer

Saat Internet Explorer mengunduh berkas HTA, ia akan menanyakan apakah Anda ingin menyimpan atau membukanya. Jika pengguna memutuskan untuk membuka berkas tersebut karena mengira itu adalah PDF, karena tidak mengandung Mark of the Web, ia akan diluncurkan hanya dengan peringatan umum tentang konten yang dibuka dari situs web.

Peringatan dari Windows saat Internet Explorer meluncurkan file HTA
Peringatan dari Windows saat Internet Explorer meluncurkan file HTA
Sumber: BleepingComputer

Karena target mengharapkan untuk mengunduh PDF, pengguna dapat mempercayai peringatan ini, dan berkas diizinkan untuk dijalankan.

Check Point Research mengatakan kepada BleepingComputer bahwa membiarkan file HTA berjalan akan menginstal Malware Pencuri Atlantida malware pencuri kata sandi di komputer.

Setelah dijalankan, malware akan mencuri semua kredensial yang disimpan di browser, cookie, riwayat browser, dompet mata uang kripto, kredensial Steam, dan data sensitif lainnya.

Microsoft telah memperbaiki kerentanan CVE-2024-38112 dengan membatalkan pendaftaran mhtml: URI dari Internet Explorer, jadi sekarang terbuka di Microsoft Edge.

CVE-2024-38112 mirip dengan CVE-2021-40444kerentanan zero-day yang menyalahgunakan MHTML yang dimanfaatkan oleh peretas Korea Utara untuk meluncurkan serangan yang menargetkan peneliti keamanan pada tahun 2021.

Sumber