行業新聞與博客

安全專家在 MHTML 協議處理程序中發現了一個嚴重的遠程代碼執行 (RCE) 漏洞，編號為 CVE-2024-38112。 

該漏洞被稱為 ZDI-CAN-24433，是在 CVE-2024-38112 發現後報告給微軟的（後來該科技巨頭對其進行了修補），有證據表明該漏洞被高級持續威脅 (APT) 組織 Void Banshee 積極利用。 

Void Banshee 以北美、歐洲和東南亞地區為目標，利用 CVE-2024-38112 作為複雜攻擊鏈的一部分，旨在竊取敏感信息並獲取經濟利益。

此次攻擊最終導致部署了 Atlantida 竊取程序，這是最初於 2024 年 1 月發現的惡意軟件變種。在這一年中，該活動的變種愈演愈烈，並利用 CVE-2024-38112 來破壞系統。 

通過互聯網快捷方式 (.URL) 文件利用 MHTML 漏洞，Void Banshee 操縱 Windows 系統上已禁用的 Internet Explorer 實例，繞過安全措施並執行惡意負載，如 HTML 應用程序 (HTA)。

為了應對這一威脅，趨勢科技於 2024 年 5 月中旬監控了不斷發展的活動，利用內部和外部遙測技術來追蹤 Void Banshee 的戰術、技術和程序 (TTP)。 

攻擊者不僅利用了 MHTML 協議，還利用了 Microsoft 協議處理程序和 URI 方案，利用了現代 Windows 版本中存在的 Internet Explorer 殘餘（儘管該功能已正式停止使用並被禁用）。

CVE-2024-38112 的嚴重性促使 Microsoft 在 2024 年 7 月的補丁星期二週期中發佈了一個補丁，該補丁有效地從 Internet Explorer 中取消註冊了 MHTML 處理程序。這一關鍵步驟減輕了此漏洞帶來的風險，防止通過 Internet 快捷方式文件進一步利用該漏洞。

趨勢科技表示，此次事件凸顯了人們對 Internet Explorer 等舊版組件被利用的持續擔憂，儘管這些組件已被逐步淘汰，但在現代 Windows 環境中仍然存在潛在漏洞。 

趨勢科技表示：“由於 IE 等服務的攻擊面很大，而且不再收到補丁，這對 Windows 用户來説是一個嚴重的安全隱患。”

“當面臨不確定的入侵、行為和慣例時，組織應該假設他們的系統已經受到損害或破壞，並立即隔離受影響的數據或工具鏈。憑藉更廣闊的視角和快速響應，組織可以解決違規行為並保護 [其] 剩餘系統。”