Hacker setzen Shortcut-Dateien ein, um schädlichen Code auf Zielsystemen auszuführen. Diese Dateien können als harmlose Symbole getarnt sein, enthalten jedoch Befehle, die beim Anklicken schädliche Skripte oder Programme starten. Diese Technik ermöglicht es Angreifern, Sicherheitsmaßnahmen zu umgehen, unbefugten Zugang zu erlangen oder Payloads zu liefern, indem sie das Vertrauen der Benutzer in scheinbar harmlose Desktop-Verknüpfungen ausnutzen.
Neue Angriffsmethode entdeckt
Cybersicherheitsforscher bei CheckPoint haben kürzlich festgestellt, dass Hacker Shortcut-Dateien mit Zero-Day-Tricks (CVE-2024-38112) nutzen, um Windows-Nutzer anzugreifen.
Funktionsweise der Attacke
Moderne Browser-Schutzmaßnahmen werden umgangen, indem Code auf Microsofts Internet Explorer remote ausgeführt wird, und zwar mithilfe von Windows Internet Shortcut-Dateien (.url). Der mittlerweile eingestellte IE wird seit Januar 2023 ausgenutzt, um sogar aktualisierte Windows 10- und Windows 11-Rechner zu attackieren.
Hierbei erlangen die Bedrohungsakteure viele Vorteile bei der Remote-Code-Ausführung, indem sie die Nutzung von IE erzwingen und bösartige .hta-Erweiterungen verbergen. Diese „mhtml“-Technik wurde zuvor in CVE-2021-40444-Angriffen gesehen und wird nun von Angreifern verwendet, um .url-Dateien auszunutzen. Windows Internet Shortcut-Dateien verwenden ein spezifisches URL-Format (mhtml:http://…!x-usc:http://…), um dies zu erreichen.
Durch die Vortäuschung eines PDF-Links wird sichergestellt, dass die Sicherheit moderner Browser umgangen wird, was zur Folge hat, dass Internet Explorer verwendet wird. Dies ermöglicht eine mögliche Remote-Code-Ausführung auf vollständig gepatchten Windows 11-Systemen.
Versteckte Gefahren
Die bösartigen .url-Dateien nutzen Windows-Shortcuts, um Links im eingestellten Internet Explorer statt in modernen Browsern zu öffnen. Dies umgeht die Sicherheitsmaßnahmen und ermöglicht Angreifern potenziell die Remote-Ausführung von Code auf Windows 10- und Windows 11-Systemen. Die Technik, die keine IE-Schwachstellen benötigt, wird seit mindestens Januar 2023 verwendet, so die Forscher.
Der Hack verwendet zwei Arten von irreführenden Methoden: einen „mhtml“-Hack, der den Einsatz von Internet Explorer statt sicherer Browser erzwingt, und einen IE-spezifischen Hack, der eine bösartige .hta-Datei als PDF tarnt. Der Dateiname besteht aus unsichtbaren nicht druckbaren Zeichen, gefolgt von einer versteckten .hta-Erweiterung, um Benutzer zu täuschen, die glauben, ein harmloses PDF zu öffnen.
Sicherheitsupdate und Schutzmaßnahmen
Microsoft hat am 9. Juli 2024 ein Patch (CVE-2024-38112) veröffentlicht, das die gemeldete Sicherheitslücke behebt, die am 16. Mai gemeldet wurde. Durch die Umgehung des geschützten Modus von IE kann es zu einer Systemkompromittierung kommen, wenn der Benutzer die Gefahr ignoriert und den Download fortsetzt.
Es ist wichtig, dass Windows-Nutzer ihre Systeme regelmäßig aktualisieren und vorsichtig mit unbekannten Dateien umgehen, um sich vor solchen Angriffen zu schützen.