Yüzüme vurma:Bağımsız bir uygulama olarak Internet Explorer, Microsoft tarafından 2022’de resmen “emekliye ayrıldı”. Redmond şirketi artık Windows’ta IE’yi desteklemiyor, ancak eski tarayıcının motoru hala Windows 11’in en son sürümlerinde yer alıyor. Ve bu, siber suçluların kampanyalarında hedef almayı hala sevdiği bir güvenlik riski.
Microsoft’un en son Patch Tuesday güncellemeleri, Internet Explorer tarayıcı motorundaki sıfır günlük bir kusur için bir hata düzeltmesi içeriyor. CVE-2024-38112 olarak izlenen bu güvenlik açığı, Ocak 2023’ten beri kullanıcıları yerel, korumasız makinelerde kötü amaçlı kod çalıştırmaya kandırmak için bilinmeyen suçlular tarafından kullanılıyor.
İlk olarak Check Point araştırmacıları tarafından keşfedilen CVE-2024-38112 açığı, Microsoft tarafından Windows MSHTML Platform Sahteciliği Güvenlik Açığı olarak tanımlanıyor. Trident olarak da bilinen MSHTML, Internet Explorer tarafından kullanılan tescilli tarayıcı motorudur. Tarayıcı artık Windows 11’de kullanılamıyor, ancak yukarıda belirtilen motor hala işletim sistemine dahil ve Microsoft en azından 2029’a kadar desteklemeyi planlıyor.
CVE-2024-38112, 10 üzerinden 7,0’lık bir önem derecesine sahiptir ve başarılı bir istismar sürecini garantilemek için bir saldırganın ek eylemler gerçekleştirmesini gerektirir. Microsoft, bir tehdit aktörünün kurbanını kötü amaçlı bir dosyayı indirmesi ve yürütmesi için kandırması gerektiği konusunda uyarıyor ve kullanıcılar bir yıldan uzun süredir hedef alınıyor, saldırıya uğruyor ve aslında tehlikeye atılıyor.
Check Point analistleri, IE’nin motorunun güvenli olmadığı ve güncel olmadığı konusunda uyarıyor ve CVE-2024-38112’yi hedef almak için tasarlanan sıfır günlük istismarlar, aslında başarmaya çalıştıkları şeyi gizlemek için bazı akıllıca numaralar kullanıyordu. Suçlular, bir PDF belgesini açıyormuş gibi görünen ve ardından Edge tarayıcısını (msedge.exe) Internet Explorer modunda açan kötü amaçlı bir URL bağlantısı kullandılar.
MSHTML’yi çağırdıktan sonra suçlular, uzaktan kod yürütme ayrıcalıklarını hemen elde etmek için IE ile ilgili bazı sıfır günlük kusurları kötüye kullanabilirlerdi. Ancak, Check Point tarafından keşfedilen kötü amaçlı örnekler, IE motorunda daha önce bilinmeyen herhangi bir kusur içermiyordu. Bunun yerine, bir iletişim kutusu açmak ve kullanıcılardan bir PDF dosyası kaydetmelerini istemek için başka bir yeni numara kullandılar.
PDF uzantısı, kötü amaçlı bir HTA dosyasını maskelemek için kullanıldı; bu, bir HTML belgesinden çağrılan ve Microsoft HTML Uygulama Ana Bilgisayarı (mshta.exe) olarak bilinen bir araç aracılığıyla Windows’ta çalışan yürütülebilir bir programdır. Check Point, aslında CVE-2024-38112 saldırılarının genel amacının kurbanların bir PDF dosyası açtıklarına inanmalarını sağlamak olduğunu söylüyor. Şirket, kampanyada kullanılan altı kötü amaçlı .url dosyasını keşfetti ve bunları karıştırdı ve Windows kullanıcılarına en son Patch Tuesday güncellemelerini mümkün olan en kısa sürede yüklemeleri öneriliyor.