行业新闻与博客

安全专家在 MHTML 协议处理程序中发现了一个严重的远程代码执行 (RCE) 漏洞，编号为 CVE-2024-38112。 

该漏洞被称为 ZDI-CAN-24433，是在 CVE-2024-38112 发现后报告给微软的（后来该科技巨头对其进行了修补），有证据表明该漏洞被高级持续威胁 (APT) 组织 Void Banshee 积极利用。 

Void Banshee 以北美、欧洲和东南亚地区为目标，利用 CVE-2024-38112 作为复杂攻击链的一部分，旨在窃取敏感信息并获取经济利益。

此次攻击最终导致部署了 Atlantida 窃取程序，这是最初于 2024 年 1 月发现的恶意软件变种。在这一年中，该活动的变种愈演愈烈，并利用 CVE-2024-38112 来破坏系统。 

通过互联网快捷方式 (.URL) 文件利用 MHTML 漏洞，Void Banshee 操纵 Windows 系统上已禁用的 Internet Explorer 实例，绕过安全措施并执行恶意负载，如 HTML 应用程序 (HTA)。

为了应对这一威胁，趋势科技于 2024 年 5 月中旬监控了不断发展的活动，利用内部和外部遥测技术来追踪 Void Banshee 的战术、技术和程序 (TTP)。 

攻击者不仅利用了 MHTML 协议，还利用了 Microsoft 协议处理程序和 URI 方案，利用了现代 Windows 版本中存在的 Internet Explorer 残余（尽管该功能已正式停止使用并被禁用）。

CVE-2024-38112 的严重性促使 Microsoft 在 2024 年 7 月的补丁星期二周期中发布了一个补丁，该补丁有效地从 Internet Explorer 中取消注册了 MHTML 处理程序。这一关键步骤减轻了此漏洞带来的风险，防止通过 Internet 快捷方式文件进一步利用该漏洞。

趋势科技表示，此次事件凸显了人们对 Internet Explorer 等旧版组件被利用的持续担忧，尽管这些组件已被逐步淘汰，但在现代 Windows 环境中仍然存在潜在漏洞。 

趋势科技表示：“由于 IE 等服务的攻击面很大，而且不再收到补丁，这对 Windows 用户来说是一个严重的安全隐患。”

“当面临不确定的入侵、行为和惯例时，组织应该假设他们的系统已经受到损害或破坏，并立即隔离受影响的数据或工具链。凭借更广阔的视角和快速响应，组织可以解决违规行为并保护 [其] 剩余系统。”