Check Point Research ha rilevato attacchi che sfruttano una vulnerabilità zero-day in MSHTML (Trident), il motore di rendering di Internet Explorer. I ricercatori hanno scoperto che l’exploit circola almeno da gennaio 2023. Microsoft ha incluso la patch negli aggiornamenti cumulativi di Windows 11 e Windows 10 del 9 luglio, quindi dopo oltre 18 mesi.
Installare subito gli update
I cybercriminali sfruttano un file .url, che vedendo l’icona sembra un documento PDF, per ingannare gli utenti. Quando le ignare vittime eseguono il file PDF viene aperto Internet Explorer, l’unico browser che può gestire gli handler MHTML, un formato usato per archiviare l’intera pagina web.
Internet Explorer è stato ritirato due anni fa e non viene più supportato da Microsoft, ma è ancora parte di Windows 11 e Windows 10. La vulnerabilità CVE-2024-38112 è presente in MSHTML (Trident), il motore di rendering del browser. Quando l’utente esegue il file PDF viene mostrato un avviso di sicurezza. Se ignorato viene scaricato ed eseguito un file .hta che infetta il computer.
Il malware è l’infostealer Atlantida che ruba tutti i dati conservati nel browser (password, cronologia e cookie), le credenziali di Steam e le informazioni dei wallet di criptovalute.
Microsoft ha corretto la vulnerabilità eliminando l’associazione di MHTML con Internet Explorer. Gli utenti devono quindi installare al più presto gli ultimi aggiornamenti per Windows 11 e 10 che includono la patch.