9月7日，微軟發(fā)布安全公告稱發(fā)現(xiàn)Windows IE MSHTML中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，CVE編號(hào)為CVE-2021-40444。由于未發(fā)布漏洞補(bǔ)丁，微軟只稱該漏洞可以利用惡意ActiveX控制來利用office 365和office 2019來在受影響的Windows 10主機(jī)上下載和安裝惡意軟件。

隨后，研究人員發(fā)現(xiàn)有攻擊活動(dòng)使用該惡意word文檔，即該漏洞的0 day在野利用。

當(dāng)office打開一個(gè)文檔后，會(huì)檢查是否標(biāo)記為"Mark of the Web" (MoTW)，這表示它來源于互聯(lián)網(wǎng)。如果該標(biāo)簽存在，微軟就會(huì)以只讀模式打開該文檔，除非用戶點(diǎn)擊啟用編輯按鈕。

保護(hù)視圖打開的word文件

漏洞分析人員Will Dormann稱保護(hù)視圖特征可以緩解該漏洞利用，但Dormann稱雖然保護(hù)視圖特征可以預(yù)防該漏洞，但歷史數(shù)據(jù)表明許多用戶都會(huì)忽視該警告，并點(diǎn)擊啟用編輯按鈕。

但也有很多的方式可以讓一個(gè)文件不接受MoTW標(biāo)簽。如果文件在容器中，可能就不會(huì)意識(shí)到MotW的存在，比如7zip打開下載的壓縮文件后，提取的文件就不會(huì)有來自互聯(lián)網(wǎng)的標(biāo)記。同樣地，如果文件在ISO文件中，Windows用戶可以雙擊ISO來打開它。但是Windows不會(huì)把其中的內(nèi)容看做是來自互聯(lián)網(wǎng)。

此外，Dormann還發(fā)現(xiàn)可以在RTF文件中利用該漏洞，RTF文件中沒有office保護(hù)視圖安全特征。

微軟此前發(fā)布了環(huán)節(jié)措施來預(yù)防ActiveX來IE中運(yùn)行，以攔截可能的攻擊活動(dòng)。但安全研究人員Kevin Beaumont已發(fā)現(xiàn)了繞過微軟緩解措施的方法。

攻擊活動(dòng)中使用的惡意word文件名為’A Letter before court 4.docx’（https://www.virustotal.com/gui/file/d0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6）。

因?yàn)樵撐募菑幕ヂ?lián)網(wǎng)下載的，會(huì)被標(biāo)記為Mark of the web，會(huì)在word保護(hù)視圖打開。

利用CVE-2021-40444漏洞的惡意word

一旦用戶點(diǎn)擊啟用編輯按鈕，漏洞利用就會(huì)使用mhtml協(xié)議打開一個(gè)位于遠(yuǎn)程站點(diǎn)的side.html文件，該文件會(huì)被加載為word模板。

‘mhtml’ URL注冊(cè)到IE后，瀏覽器就會(huì)開始加載HTML，其混淆的JS代碼會(huì)通過創(chuàng)建惡意ActiveX控制來利用CVE-2021-40444漏洞。

side.html文件中混淆的JS代碼

ActiveX控制會(huì)從遠(yuǎn)程站點(diǎn)下載ministry.cab 文件，提取championship.inf文件（事實(shí)上是DLL文件），并以CPL文件執(zhí)行。

以CPL文件執(zhí)行championship.inf 文件

TrendMicro稱最終的payload會(huì)安裝Cobalt Strike，該惡意軟件允許攻擊者獲取設(shè)備的遠(yuǎn)程訪問權(quán)限。

一旦攻擊者獲取受害者計(jì)算機(jī)的遠(yuǎn)程訪問權(quán)限，就可以用來在網(wǎng)絡(luò)中傳播惡意軟件、安裝其他惡意軟件、竊取文件、部署勒索軟件。

由于該漏洞的嚴(yán)重性，研究人員建議用戶只打開來自可信源的附件。

【網(wǎng)絡(luò)安全學(xué)習(xí)資料】

總結(jié)

以上是生活随笔為你收集整理的CVE-2021-40444 0 day漏洞利用的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。