תפתח חלון: האקרים ניצלו פגיעות ב-Windows במשך שנה וחצי

מיקרוסופט תיקנה באחרונה פגיעות מסוג יום אפס שפגעה במערכת ההפעלה שלה, Windows. זו נוצלה להשקת מתקפות במשך שנה וחצי, כדי להשיק סקריפטים זדוניים – תוך עקיפת תכונות אבטחה מובנות.

החולשה, בדרגת חומרה גבוהה, תויגה כ-CVE-2024-38112, והענקית מרדמונד תיקנה את בעיית הזיוף במסגרת עדכוני האבטחה שלה, של יולי השנה.

חוקרי צ'ק פוינט הם שגילו את הפגיעות ודיווחו עליה למיקרוסופט בחודש מאי. החוקרים ציינו שהם גילו עדויות שלפיהן החולשה נוצלה כבר בינואר 2023. הם כתבו כי "גורמי איומים הפיצו קבצי URL של Windows על מנת לזייף קבצים בעלי מראה לגיטימי, כגון PDF, שבפועל מורידים קבצי HTA כדי להתקין נוזקות לגניבת סיסמאות".

נוזקה שיכולה "לאלץ" את אינטרנט אקספלורר לפתוח את ה-URL

URL הוא רצף של תווים במבנה אחיד, המשמש לייצוג המיקום של דפי אינטרנט וקבצים ברשת. URL, שהוא "קובץ קיצור לאינטרנט", מכונה בשפה העממית כתובת האתר, כתובת רשת או כתובת הדף. הוא פשוט קובץ טקסט שמכיל הגדרות תצורה שונות, כגון איזה קישור לפתוח בלחיצה כפולה ועוד מידע. לאחר שמירה כקובץ URL ולחיצה כפולה, Windows פותח את כתובת האתר המוגדרת בדפדפן האינטרנט, המוגדר כברירת מחדל.

עם זאת, שחקני האיומים גילו שהם יכולים "לאלץ" את אינטרנט אקספלורר, הדפדפן הוותיק של מיקרוסופט, לפתוח את כתובת ה-URL. חוקרי אבטחה כתבו כי "פתיחת דף אינטרנט באינטרנט אקספלורר מציעה יתרונות נוספים לגורמי איומים, שכן יש פחות אזהרות אבטחה בעת הורדת קבצים זדוניים". אחרים הסבירו כי "שחקני האיום מנצלים את העובדה שדפדפן זה עדיין כלול כברירת מחדל ב-Windows 10 וב-Windows 11".

כך, על אף שמיקרוסופט החליפה את אינטרנט אקספלורר ב-Edge בכל הפונקציות המעשיות, עדיין ניתן להפעיל את הדפדפן המיושן ולנצל אותו למטרות זדוניות.

חוקרי צ'ק פוינט ציינו ש-"שחקני האיום יוצרים קבצי קיצורי אינטרנט עם אינדקסים של אייקונים – כדי לגרום להם להופיע כקישורים לקובץ PDF – כשהם למעשה קובץ HTA. הרעים יכולים להסתיר את סיומת HTA ולגרום לה להיראות כאילו זהו PDF וכך, הפעלת קובץ ה-HTA תתקין במחשב נוזקה שגונבת סיסמאות, Atlantida Stealer. הנוזקה גונבת את כל האישורים המאוחסנים בדפדפן, קבצי עוגיות (Cookies), ההיסטוריה של הדפדפן, ארנקי מטבעות קריפטוגרפיים, אישורים ונתונים רגישים אחרים".