9月7日，微軟發布安全公告稱發現Windows IE MSHTML中的一個遠程代碼執行漏洞，CVE編號為CVE-2021-40444。由于未發布漏洞補丁，微軟只稱該漏洞可以利用惡意ActiveX控制來利用office 365和office 2019來在受影響的Windows 10主機上下載和安裝惡意軟件。

隨后，研究人員發現有攻擊活動使用該惡意word文檔，即該漏洞的0 day在野利用。

當office打開一個文檔后，會檢查是否標記為"Mark of the Web" (MoTW)，這表示它來源于互聯網。如果該標簽存在，微軟就會以只讀模式打開該文檔，除非用戶點擊啟用編輯按鈕。

保護視圖打開的word文件

漏洞分析人員Will Dormann稱保護視圖特征可以緩解該漏洞利用，但Dormann稱雖然保護視圖特征可以預防該漏洞，但歷史數據表明許多用戶都會忽視該警告，并點擊啟用編輯按鈕。

但也有很多的方式可以讓一個文件不接受MoTW標簽。如果文件在容器中，可能就不會意識到MotW的存在，比如7zip打開下載的壓縮文件后，提取的文件就不會有來自互聯網的標記。同樣地，如果文件在ISO文件中，Windows用戶可以雙擊ISO來打開它。但是Windows不會把其中的內容看做是來自互聯網。

此外，Dormann還發現可以在RTF文件中利用該漏洞，RTF文件中沒有office保護視圖安全特征。

微軟此前發布了環節措施來預防ActiveX來IE中運行，以攔截可能的攻擊活動。但安全研究人員Kevin Beaumont已發現了繞過微軟緩解措施的方法。

攻擊活動中使用的惡意word文件名為’A Letter before court 4.docx’（https://www.virustotal.com/gui/file/d0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6）。

因為該文件是從互聯網下載的，會被標記為Mark of the web，會在word保護視圖打開。

利用CVE-2021-40444漏洞的惡意word

一旦用戶點擊啟用編輯按鈕，漏洞利用就會使用mhtml協議打開一個位于遠程站點的side.html文件，該文件會被加載為word模板。

‘mhtml’ URL注冊到IE后，瀏覽器就會開始加載HTML，其混淆的JS代碼會通過創建惡意ActiveX控制來利用CVE-2021-40444漏洞。

side.html文件中混淆的JS代碼

ActiveX控制會從遠程站點下載ministry.cab 文件，提取championship.inf文件（事實上是DLL文件），并以CPL文件執行。

以CPL文件執行championship.inf 文件

TrendMicro稱最終的payload會安裝Cobalt Strike，該惡意軟件允許攻擊者獲取設備的遠程訪問權限。

一旦攻擊者獲取受害者計算機的遠程訪問權限，就可以用來在網絡中傳播惡意軟件、安裝其他惡意軟件、竊取文件、部署勒索軟件。

由于該漏洞的嚴重性，研究人員建議用戶只打開來自可信源的附件。

【網絡安全學習資料】

總結

以上是生活随笔為你收集整理的CVE-2021-40444 0 day漏洞利用的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。