CVE-2024-38112

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-07-09

Официальное описание

Microsoft Windows MSHTML Platform contains a spoofing vulnerability that has a high impact to confidentiality, integrity, and availability.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-38112 — это критическая уязвимость подмены (spoofing) в платформе MSHTML (движок Internet Explorer), которая используется операционной системой Windows. Злоумышленники эксплуатируют её, создавая специально подготовленные файлы ярлыков интернет-объектов (.url).

При открытии такого файла система игнорирует современные браузеры и принудительно запускает устаревший Internet Explorer для обработки вредоносного контента. Это позволяет атакующим обходить механизмы безопасности Windows (такие как Mark-of-the-Web) и выполнять произвольный код или фишинговые атаки, вводя пользователя в заблуждение относительно подлинности открываемого ресурса. Уязвимость активно эксплуатировалась группировкой Void Banshee в реальных атаках.

Как исправить

Основным и рекомендуемым способом устранения является установка официальных обновлений безопасности Microsoft от июля 2024 года (Patch Tuesday).

  1. Для автоматического обновления: Перейдите в «Параметры» -> «Обновление и безопасность» -> «Центр обновления Windows» и нажмите «Проверить наличие обновлений».

  2. Для ручной установки через PowerShell (требуется модуль PSWindowsUpdate):

Install-WindowsUpdate -KBArticleID KB5040442

(Примечание: Номер KB может варьироваться в зависимости от версии ОС, например, KB5040442 для Windows 10 22H2 или KB5040437 для Windows 11 23H2).

  1. Проверка версии установленного патча:
Get-HotFix | Where-Object {$_.HotFixID -match "KB5040442|KB5040437"}

Временные меры

Если немедленная установка патчей невозможна, необходимо ограничить векторы атаки:

  1. Отключение сопоставления протокола MHTML (через реестр):
Remove-Item -Path "HKLM:\SOFTWARE\Classes\MHTML\shell\open\command" -Force

  1. Блокировка запуска Internet Explorer через групповые политики (GPO): Установите параметр «Отключить Internet Explorer 11 как автономный браузер» в состояние «Включено» по пути: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer.

  2. Настройка фильтрации трафика: Заблокируйте загрузку файлов с расширением .url из недоверенных источников (электронная почта, мессенджеры) на уровне шлюза безопасности (SEG/WAF).

  3. Использование Attack Surface Reduction (ASR) правил в Microsoft Defender: Включите правило для блокировки запуска исполняемого контента из электронных писем:

Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-539C-41FD-8452-83070F2344B4 -AttackSurfaceReductionRules_Actions Enabled
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей