威胁行为者利用Windows 0天漏洞长达一年之久，微软终于修复

标题：不会消亡的浏览器背后的威胁：Windows 0-day漏洞攻击长达一年之久
在网络安全的舞台上，一场无声的战役正在悄然进行。威胁行动者利用Windows的一个0-day漏洞进行了长达一年以上的攻击，而这个漏洞直到微软修复之前都一直存在。研究人员在周二表示，这些威胁行动者通过恶意软件对Windows用户进行攻击。这个漏洞存在于Windows 10和11中，使攻击者能够通过欺骗手段让目标设备打开Internet Explorer浏览器并执行恶意代码。值得注意的是，Internet Explorer是一个已经被微软于2022年废弃的浏览器，由于其基于旧代码的架构，使其越来越容易受到攻击。
这个漏洞的恶意代码可以追溯到至少2023年1月，今年5月仍被发现存在。研究人员发现了这个漏洞并向微软报告。微软在周二将其修复，作为每月例行发布程序的一部分。该漏洞位于Windows的MSHTML引擎中，评级为7.0（满分为10）。
来自安全公司Check Point的研究人员表示，攻击代码执行了“新的（或以前未知的）技巧”来诱骗Windows用户进行远程代码执行。例如，在一个恶意代码样本中，一个看似正常的PDF文件链接实际上是一个带有.url扩展名的文件。在Windows中查看时，文件图标显示它是一个PDF文件，但实际上这种文件设计用于打开一个链接中指定的应用程序。
该链接在Windows中调用msedge.exe文件，该文件运行Edge浏览器。然而，该链接结合了mhtml:和!x-usc:两个属性——这是威胁行动者多年来一直在使用的“老把戏”，用于让Windows打开应用程序，如MS Word。它还包含一个链接到恶意网站的地址。点击后，伪装成PDF的.url文件会打开网站，但不是在Edge浏览器中，而是在Internet Explorer中。Check Point的研究人员Haifei Li表示，“从网站通过IE打开之后，攻击者可以做很多坏事，因为IE既不安全也过时。”在样本分析中，攻击者并没有使用任何IE远程代码执行漏洞。相反，他们使用了IE中的另一个可能是以前不为人知的技巧来欺骗受害者进行远程代码执行。
一旦IE呈现给用户一个对话框询问他们是否想打开一个伪装成PDF的文件，如果用户点击“打开”，Windows会弹出一个第二对话框显示一个模糊的通知，告知用户如果继续操作将会打开Windows设备上的内容。如果用户点击“允许”，IE将加载一个以.hta结尾的文件，这种扩展会导致Windows在Internet Explorer中打开文件并运行嵌入的代码。总的来说，这些攻击的目的是欺骗受害者认为他们正在打开PDF文件，而这正是通过这两种技巧实现的。Check Point的博客中还包含了六个用于此次活动的恶意.url文件的加密哈希值，Windows用户可以使用这些哈希值来检查自己是否已被攻击。