微軟目前已經停止支援IE 瀏覽器，儘管如此Windows 10/11 系統內其實還有IE 瀏覽器的相關元件，透過某種方式仍可以啟動IE 瀏覽器存取內容。網路安全公司CheckPoint 最近發現駭客正在使用一種比較新穎的技巧進行遠端程式碼執行，具體來說駭客建構特殊的Windows Internet 捷徑(即.url 檔案) 呼叫IE 瀏覽器並利用漏洞發動攻擊。

要實現這種攻擊其實還是有些麻煩的，尤其是在實際操作時用戶將會看到多次提示，除非用戶點擊各種允許否則駭客也難以發動攻擊。

下面是漏洞的利用方式：

要利用CVE-2024-38112 漏洞首先黑客需要製作特定的url 快捷方式，該快捷方式內部使用特殊的mhtml 前綴和！ x-usc: 協定。

透過進行特殊構造這個url 快捷方式在桌面上會顯示為PDF 文件和圖標誘導用戶打開，當用戶打開時則會使用IE 瀏覽器進行調用，隨後彈出提示框詢問用戶是否需要繼續打開。

一旦使用者選擇繼續開啟IE 瀏覽器附帶的安全沙盒會再次提醒，詢問使用者是否要允許開啟網路內容，這時候使用者如果繼續點擊允許，則惡意檔案會下載.hta 後綴的檔案。

鑑於這種攻擊方式並不輕鬆因此可能駭客會利用顯示為PDF 文件針對企業辦公人員發起攻擊，例如向企業人員發送電子郵件聲稱這是報價單或付款回執之類的文件。

微軟已經修復這個漏洞：

CheckPoint 發現的惡意url 樣本最早可以追溯到2023 年1 月，最晚可以追溯到2024 年5 月13 日(注意：這是原始研究報告撰寫的幾天前)。

隨後研究人員將漏洞通報給微軟安全響應中心並獲得了微軟的確認，微軟在2024 年7 月9 日發布的安全更新中已經對漏洞進行修復。

因此對用戶來說需要及時安裝安全更新，目前在研究人員發布的部落格中幾乎已經詳細介紹了該漏洞的利用方法，估計接下來很快就會有更多駭客利用此漏洞，所以及時安裝安全更新非常重要。

有興趣的使用者可以閱讀研究人員發布的原文看看技術細節：https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet- shortcut-file-to-lure-victims-cve-2024-38112/