Check Point Research hat eine neue Angriffsmethode entdeckt, bei der Bedrohungsakteure Zero-Day-Schwachstellen in Internet-Verknüpfungsdateien (.url) ausnutzen, um Windows-Nutzer zu täuschen und Remote-Code-Ausführung zu ermöglichen. Diese Methode nutzt den veralteten Internet Explorer (IE), um schädliche Inhalte auszuführen, obwohl moderne Windows 10/11-Systeme verwendet werden.
Angreifer verwenden speziell gestaltete .url-Dateien, die beim Anklicken den Internet Explorer aufrufen, um eine vom Angreifer kontrollierte URL zu besuchen. Ein zusätzlicher Trick in IE wird verwendet, um die bösartige .hta-Dateierweiterung zu verbergen, sodass das Opfer glaubt, eine harmlose PDF-Datei zu öffnen. Diese Methode, bekannt als „mhtml-Trick“, wurde bereits bei früheren Zero-Day-Angriffen (CVE-2021-40444) verwendet.
Die bösartigen .url-Dateien nutzen die „mhtml“- und „.hta“-Tricks, um Internet Explorer aufzurufen und das Opfer dazu zu bringen, eine schädliche .hta-Datei herunterzuladen und auszuführen. IE wird verwendet, da es im Vergleich zu modernen Browsern wie Chrome oder Edge deutlich weniger sicher ist.
Microsoft hat am 9. Juli 2024 einen offiziellen Patch (CVE-2024-38112) veröffentlicht. Windows-Nutzer sollten diesen Patch umgehend anwenden.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: