cve-2024-38112 - RunkIntel

# CVE-2024-38112 > [!high] Spoofing no MSHTML do Windows - Distribuição do HijackLoader > Vulnerabilidade de spoofing na plataforma MSHTML do Windows permite que arquivos maliciosos disfarçados como documentos legítimos executem código ao serem abertos. Explorado ativamente para distribuição do loader de malware **HijackLoader**, que carrega payloads como Lumma Stealer e Amadey. ## Visão Geral [[cve-2024-38112|CVE-2024-38112]] é uma vulnerabilidade de spoofing no componente MSHTML do Windows (motor de renderização do Internet Explorer, ainda presente em versões modernas do Windows). A falha permite que arquivos com extensão `.url` (Internet Shortcut) sejam crafted para abrir o Internet Explorer legado com uma URL arbitrária quando o usuário clica no arquivo - contornando avisos de segurança modernos do navegador padrão. O [[hijackloader|HijackLoader]] explorou extensivamente esta vulnerabilidade em campanhas de distribuição massiva. O vetor de ataque típico envolve arquivos `.url` disfarçados de documentos PDF ou contratos, distribuídos via phishing ou download de sites comprometidos. Ao clicar, o arquivo abre silenciosamente o IE legado que carrega um payload remoto, iniciando a cadeia de infecção. O HijackLoader é um loader de malware modular amplamente utilizado pelo ecossistema de cibercrime para distribuir múltiplos payloads finais, incluindo infostealers como Lumma Stealer e Vidar, e RATs como AsyncRAT. No contexto brasileiro, este tipo de malware tem sido usado em campanhas de fraude bancária e roubo de credenciais corporativas. > [!latam] Relevância LATAM > Campanhas usando arquivos `.url` maliciosos têm sido identificadas em phishing direcionado a usuários brasileiros, frequentemente com isca de documentos fiscais, NFe e boletos. Usuários que receberam arquivos `.url` por email no segundo semestre de 2024 devem verificar seus sistemas. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Spoofing / Abuso de arquivo legado (CWE-693) | | Componente | Windows MSHTML Platform (IE legado) | | Vetor | Interação do usuário - clicar em arquivo .url | | Impacto | Execução de código via IE legado, download de malware | | Distribuição | HijackLoader -> Lumma/Amadey/AsyncRAT | ## Attack Flow ```mermaid graph TB A["📧 Phishing Arquivo .url disfarçado"] --> B["👆 Usuário clica Arquivo .url malicioso"] B --> C["⚡ CVE-2024-38112 IE legado abre URL remota"] C --> D["📥 Download HijackLoader Payload stage 1"] D --> E["💀 Malware final Lumma / Amadey / RAT"] ``` ## TTPs Associadas - [[t1566-001-spearphishing-attachment|T1566.001]] - Phishing com anexo malicioso - [[t1204-002-malicious-file|T1204.002]] - Execução de arquivo malicioso pelo usuário - [[t1218-internet-explorer|T1218]] - Abuso do Internet Explorer legado - [[t1105-ingress-tool-transfer|T1105]] - Transferência de ferramentas via HijackLoader ## Detecção e Defesa **Mitigação primária:** Aplicar patch de julho 2024 (Patch Tuesday KB5040427). **Medidas adicionais:** - Bloquear arquivos `.url` em gateways de email - Desabilitar o Internet Explorer via Group Policy (se ainda ativo) - Monitorar execução do processo `iexplore.exe` em ambientes modernos **Mitigações estruturais:** - [[m1049-antivirus-antimalware|M1049]] - Soluções AV/EDR detectando HijackLoader - [[m1021-restrict-web-based-content|M1021]] - Bloquear downloads de URLs suspeitas - [[m1054-software-configuration|M1054]] - Desabilitar IE legado via política de grupo ## Referências - [Microsoft Security Advisory CVE-2024-38112](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112) - [Check Point Research - HijackLoader exploiting CVE-2024-38112](https://research.checkpoint.com) - [Elastic Security Labs - HijackLoader analysis](https://www.elastic.co/security-labs)