Microsoft, 18 aydır aktif olarak kullanılan bir Windows zero-day açığını kapattı. CVE-2024-38112 olarak izlenen ve Temmuz 2024 Patch Tuesday güvenlik güncellemeleri sırasında düzeltilen zafiyet MHTML spoofing ataklarına izin veriyor.
Salıdırganlar bu yöntemle PDF gibi görünen ancak şifre çalma amaçlı HTA dosyalarını indiren ve başlatan Windows Internet Kısayol Dosyaları (.url) dağıtıyor.
MHTML Nedir?
MHTML, bir web sayfasının tüm içeriğini, görüntülerini de dahil ederek tek bir arşiv dosyasında kapsayan bir uzantı. URL, mhtml: URI ile başlatıldığında, Windows bunu varsayılan tarayıcı yerine otomatik olarak Internet Explorer’da açıyor.
Saldırgan Taktikleri
Saldırgan, PDF dosyalarına benzer simgeler ile internet kısayol dosyaları oluşturuyor. Tıklanıldığında belirtilen web sayfası Internet Explorer’da açılıyor ve otomatik olarak PDF gibi görünen, ancak aslında bir HTA dosyası olan dosyayı indirmeye çalışıyor. HTA uzantısını gizlemek için dosya adını Unicode karakterlerle doldurarak HTA uzantısının görünmemesini sağlanıyor.
Check Point Research, HTA dosyasının çalıştırılmasına izin verilmesinin Atlantida Stealer şifre çalma yazılımını bilgisayara kuracağını belirtiyor. Yazılım çalıştırıldığında, tarayıcıda saklanan tüm kimlik bilgilerini, çerezleri, tarayıcı geçmişini, kripto para cüzdanlarını, Steam kimlik bilgilerini ve diğer hassas veriler çalınabilir.
Microsoft, mhtml: URI’yi Internet Explorer’dan kaydını silerek bu güvenlik açığını giderdi, böylece artık Microsoft Edge’de açılıyor.