`CVE-2024-38112` permite abuso de atalhos `.url` para reativar Internet Explorer no Windows

Campanhas exploraram arquivos Internet Shortcut para abrir URLs controladas pelo atacante no Internet Explorer e mascarar aplicações .hta como supostos PDFs em Windows 10 e Windows 11.

Componente	Arquivos Windows Internet Shortcut com extensão `.url`, manipuladores `mhtml` e Internet Explorer ainda presente no Windows 10 e Windows 11.
Vetor	Atalho `.url` recebido de origem não confiável e aberto pelo usuário, com técnica que chama o Internet Explorer e apresenta uma aplicação `.hta` como se fosse um arquivo PDF.
Impacto	Execução remota de código condicionada à interação do usuário e à aceitação de avisos do Internet Explorer, com download e execução de conteúdo `.hta` malicioso.
Prioridade	Aplicar as atualizações de julho de 2024 da Microsoft, tratar `.url` de origem externa como anexo executável e revisar telemetria de abertura do Internet Explorer por atalhos.
Versões	A técnica foi confirmada em Windows 10 e Windows 11 antes das correções publicadas em 9 de julho de 2024.
Artefatos	Amostras usavam nomes com aparência de PDF, ícone associado ao `msedge.exe`, extensão real `.hta` ocultada por caracteres não imprimíveis e acesso a infraestrutura controlada pelo atacante.
IoCs	Um exemplo de URL observado foi `hxxp://cbmelipilla[.]cl/te/test1.html`; indicadores devem ser tratados como exemplos defangados, não como lista completa de bloqueio.

Resumo técnico

A vulnerabilidade CVE-2024-38112 foi explorada em campanhas que abusaram de arquivos Windows Internet Shortcut, identificados pela extensão .url, para conduzir usuários do Windows a conteúdo controlado por atacantes. O ponto técnico central é que o atalho não se comportava como um link comum aberto no navegador moderno configurado no sistema. A cadeia usava uma técnica associada ao manipulador mhtml para forçar a abertura do Internet Explorer, mesmo em máquinas Windows 10 e Windows 11 nas quais o navegador foi aposentado para uso normal. Esse desvio reduzia a proteção esperada pelo usuário, porque a navegação não ocorria no Microsoft Edge ou em outro navegador moderno, e sim em um componente legado ainda presente no sistema operacional.

A campanha combinava duas camadas de engano técnico. A primeira fazia o arquivo .url parecer um documento PDF, inclusive com nome compatível com essa expectativa e ícone apontando para um executável do Microsoft Edge. A segunda explorava o comportamento do Internet Explorer para esconder a extensão real .hta no diálogo apresentado ao usuário, por meio de caracteres não imprimíveis anexados ao nome visível. O resultado era uma sequência em que a vítima acreditava estar abrindo um PDF, mas o fluxo real envolvia o download e a execução de uma aplicação HTML executável. O ataque exigia interação do usuário e a passagem por avisos, mas as mensagens exibidas eram influenciadas justamente pela manipulação visual do nome do arquivo.

As amostras relacionadas a essa técnica foram datadas de janeiro de 2023 até 13 de maio de 2024, indicando uso prolongado antes da correção pública. A comunicação ao centro de resposta da Microsoft ocorreu em 16 de maio de 2024, e a correção oficial foi publicada em 9 de julho de 2024. Além do identificador CVE-2024-38112, houve também uma correção de defesa em profundidade sem identificador de CVE no material analisado, associada ao bloqueio do caminho que permitia a abertura do Internet Explorer a partir de atalhos .url manipulados.

Fluxo técnico

O fluxo começa com um arquivo .url entregue ao usuário como se fosse um documento. Em um atalho benigno, o campo de URL costuma apontar diretamente para um endereço HTTP ou HTTPS e o shell do Windows encaminha a abertura para o navegador associado ao sistema. Nas amostras observadas, o valor do campo usava uma construção baseada em mhtml, técnica já vista em outro contexto de exploração, para alterar a forma como o sistema resolvia a abertura do conteúdo. Em vez de acionar o navegador moderno, a cadeia chamava o Internet Explorer e o direcionava para uma página hospedada em infraestrutura controlada pelo atacante.

A reintrodução do Internet Explorer é relevante porque altera o limite de segurança assumido pela vítima e pela equipe de defesa. O navegador foi retirado do fluxo normal de uso, mas permanece como componente do Windows e recebe tratamento de segurança próprio. Mesmo assim, a expectativa operacional em Windows 10 e Windows 11 é que navegação comum ocorra por Edge, Chrome ou outro navegador moderno. Ao forçar o Internet Explorer, o atacante passa a operar em um ambiente com modelo de interação e superfície de compatibilidade diferentes, incluindo diálogos legados e comportamento específico de abertura de aplicações associadas.

Depois que o Internet Explorer era aberto, o ataque não dependia, nas amostras analisadas, de um exploit adicional de execução de código contra o mecanismo do navegador. A execução vinha da manipulação do arquivo entregue ao usuário. O diálogo do Internet Explorer apresentava o item como se fosse um PDF, mas o tráfego HTTP continha caracteres não imprimíveis após o nome visível, seguidos da extensão real .hta. Essa composição fazia a interface esconder a parte perigosa do nome, reduzindo a chance de o usuário perceber que estava lidando com uma aplicação HTML executável e não com um documento estático.

A cadeia ainda precisava que o usuário continuasse após avisos do Internet Explorer, incluindo uma etapa relacionada ao Modo Protegido. Esse detalhe limita o ataque: não se trata de execução automática sem qualquer interação no contexto descrito. O risco, porém, permanece alto porque o fluxo foi desenhado para alinhar nome, ícone e diálogo a uma narrativa de abertura de PDF. Em ambientes corporativos, anexos ou links de supostos documentos são suficientes para pressionar usuários a aceitar prompts, especialmente quando o conteúdo parece vir de um processo administrativo, comercial ou operacional.

Superfície afetada

A superfície exposta inclui estáções Windows 10 e Windows 11 que ainda não receberam as atualizações de julho de 2024 e que permitem a abertura de arquivos .url recebidos por e-mail, colaboração, download web, compartilhamentos ou mensageria corporativa. O risco aumenta quando o ambiente não diferencia anexos de atalho de documentos reais, quando extensões de arquivo ficam ocultas na experiência do usuário e quando controles de e-mail não tratam .url como conteúdo capaz de iniciar execução indireta.

O componente crítico não é apenas o Internet Explorer isoladamente, mas a combinação entre shell do Windows, interpretação do arquivo .url, manipulador mhtml, diálogos do Internet Explorer e associação de .hta. A aplicação .hta tem natureza executável e pode carregar script no contexto do usuário. Assim, a exposição deve ser tratada como uma cadeia de execução de código baseada em engenharia de arquivo e interface, não como simples navegação a uma página maliciosa.

A correção de defesa em profundidade altera o comportamento observado após a instalação das atualizações: a abertura do atalho malicioso passa a exibir um diálogo que impede a chamada direta ao Internet Explorer por meio da técnica mhtml. Essa mudança é importante para equipes de engenharia de endpoint, porque reduz a dependência de treinamento do usuário e interrompe a primeira transição técnica da cadeia.

Estáções Windows 10 e Windows 11 sem as correções de 9 de julho de 2024.
Usuários que recebem e abrem arquivos .url de fontes não confiáveis, especialmente com aparência de PDF.
Ambientes em que .hta ainda pode ser executado por associações padrão ou políticas permissivas.
Fluxos de e-mail e colaboração que não inspecionam atalhos Internet Shortcut como anexos de risco.

Hunting e telemetria

A investigação deve começar pela telemetria de endpoint e e-mail, correlacionando recebimento de anexos .url com abertura de Internet Explorer em sistemas Windows modernos. A presença de iexplore.exe iniciado logo após interação com arquivos baixados, anexos temporários ou diretórios de sincronização deve ser tratada como sinal forte, principalmente quando a linha temporal inclui navegação para domínios externos e criação ou execução subsequente de arquivos .hta. O uso legítimo do Internet Explorer em Windows 10 e Windows 11 tende a ser raro em muitas organizações, o que favorece detecção por exceção.

Também é necessário procurar discrepâncias entre nome exibido e extensão real em artefatos baixados. A técnica descrita usa caracteres não imprimíveis para deslocar a extensão .hta para fora da visualização do usuário, mas esse detalhe pode aparecer em logs de proxy, inspeção HTTP, EDR, artefatos de cache e metadados de arquivo. Em vez de publicar ou reproduzir o conteúdo completo da URL, a defesa deve capturar a classe do comportamento: um atalho .url que aciona mhtml, abre o Internet Explorer e termina na entrega de aplicação HTML executável.

Em rede, a telemetria deve priorizar conexões HTTP iniciadas por Internet Explorer para destinos não usuais, downloads cujo nome aparente termina em .pdf mas cujo tipo ou extensão efetiva é .hta, e respostas contendo nomes de arquivo com caracteres de controle ou bytes não imprimíveis. O exemplo defangado hxxp://cbmelipilla[.]cl/te/test1.html ilustra o tipo de infraestrutura envolvida, mas não deve substituir busca comportamental mais ampla, porque campanhas desse tipo podem trocar domínio, caminho e nome de arquivo sem alterar a lógica da cadeia.

Processo iexplore.exe iniciado após abertura de arquivo .url em diretórios de download, anexos ou cache de cliente de e-mail.
Atalhos .url com uso de mhtml no campo de destino ou comportamento equivalente de chamada a componente legado.
Download ou execução de .hta logo após navegação iniciada por Internet Explorer.
Nomes de arquivo com aparência de PDF, mas contendo caracteres não imprimíveis antes de uma extensão executável.
Alertas de e-mail ou proxy para anexos Internet Shortcut que usam ícone associado a msedge.exe ou nome visualmente compatível com documento.

Mitigação

A ação prioritária é aplicar as atualizações de segurança de julho de 2024 que corrigem CVE-2024-38112 e incluem a defesa em profundidade relacionada ao uso de mhtml em arquivos .url. A validação deve confirmar que a abertura de um atalho manipulado não aciona mais o Internet Explorer e que o sistema apresenta o novo comportamento de bloqueio ou aviso esperado. Em paralelo, políticas de endpoint devem restringir a execução de .hta quando esse tipo de aplicação não for necessário para processos de negócio, porque a extensão representa uma superfície recorrente de execução por conteúdo entregue ao usuário.

Controles de e-mail, colaboração e proxy devem classificar .url como anexo ativo. A inspeção não deve depender apenas do ícone, do nome visível ou da extensão final mostrada no Explorer, pois a campanha explorava exatamente a confiança nesses elementos. Regras defensivas devem extrair e analisar o campo de destino do atalho, identificar manipuladores incomuns, normalizar caracteres não imprimíveis e marcar divergências entre nome aparente e tipo real do conteúdo baixado. Onde possível, anexos .url vindos de fora da organização devem ser bloqueados, reescritos ou isolados em sandbox antes de chegar ao usuário.

Para resposta a incidentes, a contenção deve preservar amostras do atalho, metadados de e-mail, histórico de navegação, eventos de processo e arquivos temporários associados. Caso haja execução de .hta, a investigação deve expandir para persistência no perfil do usuário, criação de processos filhos, conexões de rede posteriores e alterações em diretórios de inicialização ou chaves de execução automática, sem presumir exfiltração ou movimentação lateral se esses sinais não aparecerem. Contas usadas na estáção afetada devem ser avaliadas conforme privilégios e exposição, com rotação de credenciais apenas quando houver evidência de coleta, execução de código com acesso a segredos ou outro indicativo concreto.

Instalar as correções de julho de 2024 da Microsoft em Windows 10 e Windows 11 e validar o bloqueio da chamada ao Internet Explorer por .url manipulado.
Bloquear ou isolar anexos .url externos e inspecionar o campo de destino em busca de mhtml e caracteres não imprimíveis.
Restringir execução de .hta por política de aplicação quando não houver necessidade operacional documentada.
Criar detecções para iexplore.exe iniciado por interação com atalho, seguido de download ou execução de .hta.
Revisar campanhas de e-mail anteriores a julho de 2024 para anexos com aparência de PDF e extensão real executável.

`CVE-2024-38112` permite abuso de atalhos `.url` para reativar Internet Explorer no Windows

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

`CVE-2024-38112` permite abuso de atalhos `.url` para reativar Internet Explorer no Windows

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato