CVE-2021-40444 0 day漏洞利用
9月7日,微軟發(fā)布安全公告稱發(fā)現(xiàn)Windows IE MSHTML中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,CVE編號(hào)為CVE-2021-40444。由于未發(fā)布漏洞補(bǔ)丁,微軟只稱該漏洞可以利用惡意ActiveX控制來(lái)利用office 365和office 2019來(lái)在受影響的Windows 10主機(jī)上下載和安裝惡意軟件。
隨后,研究人員發(fā)現(xiàn)有攻擊活動(dòng)使用該惡意word文檔,即該漏洞的0 day在野利用。
當(dāng)office打開(kāi)一個(gè)文檔后,會(huì)檢查是否標(biāo)記為"Mark of the Web" (MoTW),這表示它來(lái)源于互聯(lián)網(wǎng)。如果該標(biāo)簽存在,微軟就會(huì)以只讀模式打開(kāi)該文檔,除非用戶點(diǎn)擊啟用編輯按鈕。
保護(hù)視圖打開(kāi)的word文件
漏洞分析人員Will Dormann稱保護(hù)視圖特征可以緩解該漏洞利用,但Dormann稱雖然保護(hù)視圖特征可以預(yù)防該漏洞,但歷史數(shù)據(jù)表明許多用戶都會(huì)忽視該警告,并點(diǎn)擊啟用編輯按鈕。
但也有很多的方式可以讓一個(gè)文件不接受MoTW標(biāo)簽。如果文件在容器中,可能就不會(huì)意識(shí)到MotW的存在,比如7zip打開(kāi)下載的壓縮文件后,提取的文件就不會(huì)有來(lái)自互聯(lián)網(wǎng)的標(biāo)記。同樣地,如果文件在ISO文件中,Windows用戶可以雙擊ISO來(lái)打開(kāi)它。但是Windows不會(huì)把其中的內(nèi)容看做是來(lái)自互聯(lián)網(wǎng)。
此外,Dormann還發(fā)現(xiàn)可以在RTF文件中利用該漏洞,RTF文件中沒(méi)有office保護(hù)視圖安全特征。
微軟此前發(fā)布了環(huán)節(jié)措施來(lái)預(yù)防ActiveX來(lái)IE中運(yùn)行,以攔截可能的攻擊活動(dòng)。但安全研究人員Kevin Beaumont已發(fā)現(xiàn)了繞過(guò)微軟緩解措施的方法。
攻擊活動(dòng)中使用的惡意word文件名為’A Letter before court 4.docx’(https://www.virustotal.com/gui/file/d0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6)。
因?yàn)樵撐募菑幕ヂ?lián)網(wǎng)下載的,會(huì)被標(biāo)記為Mark of the web,會(huì)在word保護(hù)視圖打開(kāi)。
利用CVE-2021-40444漏洞的惡意word
一旦用戶點(diǎn)擊啟用編輯按鈕,漏洞利用就會(huì)使用mhtml協(xié)議打開(kāi)一個(gè)位于遠(yuǎn)程站點(diǎn)的side.html文件,該文件會(huì)被加載為word模板。
‘mhtml’ URL注冊(cè)到IE后,瀏覽器就會(huì)開(kāi)始加載HTML,其混淆的JS代碼會(huì)通過(guò)創(chuàng)建惡意ActiveX控制來(lái)利用CVE-2021-40444漏洞。
side.html文件中混淆的JS代碼
ActiveX控制會(huì)從遠(yuǎn)程站點(diǎn)下載ministry.cab 文件,提取championship.inf文件(事實(shí)上是DLL文件),并以CPL文件執(zhí)行。
以CPL文件執(zhí)行championship.inf 文件
TrendMicro稱最終的payload會(huì)安裝Cobalt Strike,該惡意軟件允許攻擊者獲取設(shè)備的遠(yuǎn)程訪問(wèn)權(quán)限。
一旦攻擊者獲取受害者計(jì)算機(jī)的遠(yuǎn)程訪問(wèn)權(quán)限,就可以用來(lái)在網(wǎng)絡(luò)中傳播惡意軟件、安裝其他惡意軟件、竊取文件、部署勒索軟件。
由于該漏洞的嚴(yán)重性,研究人員建議用戶只打開(kāi)來(lái)自可信源的附件。
【網(wǎng)絡(luò)安全學(xué)習(xí)資料】
總結(jié)
以上是生活随笔為你收集整理的CVE-2021-40444 0 day漏洞利用的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 为修复一个代码执行安全漏洞,Tensor
- 下一篇: 【网络安全】Metasploit 生成的