Windows10/11: Remote Code Execution per Internet-Verknüpfungsdateien

Check Point Research hat eine neue Angriffsmethode entdeckt, bei der Bedrohungsakteure Zero-Day-Schwachstellen in Internet-Verknüpfungsdateien (.url) ausnutzen, um Windows-Nutzer zu täuschen und Remote-Code-Ausführung zu ermöglichen. Diese Methode nutzt den veralteten Internet Explorer (IE), um schädliche Inhalte auszuführen, obwohl moderne Windows 10/11-Systeme verwendet werden.

Angreifer verwenden speziell gestaltete .url-Dateien, die beim Anklicken den Internet Explorer aufrufen, um eine vom Angreifer kontrollierte URL zu besuchen. Ein zusätzlicher Trick in IE wird verwendet, um die bösartige .hta-Dateierweiterung zu verbergen, sodass das Opfer glaubt, eine harmlose PDF-Datei zu öffnen. Diese Methode, bekannt als “mhtml-Trick”, wurde bereits bei früheren Zero-Day-Angriffen (CVE-2021-40444) verwendet.

Die bösartigen .url-Dateien nutzen die „mhtml“- und „.hta“-Tricks, um Internet Explorer aufzurufen und das Opfer dazu zu bringen, eine schädliche .hta-Datei herunterzuladen und auszuführen. IE wird verwendet, da es im Vergleich zu modernen Browsern wie Chrome oder Edge deutlich weniger sicher ist.

Microsoft hat am 9. Juli 2024 einen offiziellen Patch (CVE-2024-38112) veröffentlicht. Windows-Nutzer sollten diesen Patch umgehend anwenden.

Related Posts

Kritische Schwachstelle in Palo Alto Networks Expedition entdeckt

Palo Alto Networks hat eine schwerwiegende Sicherheitslücke (CVE-2024-5910) in ihrem Tool Expedition identifiziert. Diese Schwachstelle ermöglicht es Angreifern, ohne Authentifizierung die Kontrolle über ein Administratorkonto zu übernehmen. Expedition wird zur Unterstützung bei der Konfigurationsmigration, -anpassung und -erweiterung verwendet. Durch die Schwachstelle sind Konfigurationsgeheimnisse, Anmeldeinformationen und andere importierte Daten gefährdet. Die CVSS Bewertung wird daher als kritisch 9.3 / 10 angegeben.

Read More

RCE Sicherheitslücke in LevelOne WBR-6013 Router entdeckt

Die schwerwiegende Sicherheitslücke CVE-2023-46685 wurde in der Telnetd-Funktionalität des LevelOne WBR-6013 Routers entdeckt. Diese Schwachstelle erlaubt es Angreifern, durch speziell gestaltete Netzwerkpakete beliebige Befehle auf dem Gerät auszuführen und vollständige Kontrolle zu erlangen. Betroffen ist die Version LevelOne WBR-6013 RER4_A_v3411b_2T2R_LEV_09_170623.

Read More

Kritisches Sicherheits-Release für GitLab

Am 10.7.24 hat GitLab die Versionen 17.1.2, 17.0.4 und 16.11.6 für die Community Edition (CE) und die Enterprise Edition (EE) veröffentlicht. Diese Versionen enthalten wichtige Fehler- und Sicherheitskorrekturen. Es wird dringend empfohlen, dass alle GitLab-Installationen sofort auf eine dieser Versionen aktualisiert werden. GitLab.com und GitLab Dedicated laufen bereits mit der gepatchten Version.

Read More