Эксплойты нулевого дня Windows MSHTML опубликованы на форумах хакеров
В прошлый вторник Microsoft раскрыла новую уязвимость нулевого дня в Windows MSHTML, которая позволяет злоумышленникам создавать вредоносные документы, включая документы Office и RTF, для удаленного выполнения команд на компьютере жертвы.Злоумышленники делятся учебными пособиями и эксплойтами Windows MSHTML нулевого дня (CVE-2021-40444) на хакерских форумах, что позволяет другим хакерам начать использовать новую уязвимость в своих собственных атаках.
Несмотря на то, что для уязвимости CVE-2021-40444 нет доступных обновлений безопасности, поскольку она была обнаружена в активных атаках EXPMON и Mandiant, Microsoft решила раскрыть уязвимость и предоставить меры по предотвращению ее эксплуатации.
Эти меры защиты работают путем блокировки элементов управления ActiveX и предварительного просмотра документов Word / RTF в проводнике Windows.
Однако исследователи смогли изменить эксплойт, чтобы не использовать ActiveX, эффективно обходя меры защиты Microsoft.
Руководства и PoC опубликованы на хакерских форумах
Когда Microsoft впервые раскрыла Windows MSHTML нулевого дня, отслеживаемую как CVE-2021-40444, исследователи безопасности быстро обнаружили вредоносные документы, используемые в атаках.
Вскоре они воспроизвели эксплойты, модифицировали их для расширения возможностей и обнаружили новый вектор предварительного просмотра документа, но исследователи не раскрывали подробностей из опасения, что другие злоумышленники воспользуются им.
К сожалению, злоумышленники смогли воспроизвести эксплойт самостоятельно на основе информации и образцов вредоносных документов, размещенных в Интернете, и начали делиться подробными руководствами и информацией на хакерских форумах.
С четверга злоумышленники начали делиться общедоступной информацией о HTML-компоненте эксплойта и о том, как создать вредоносный документ. В пятницу были опубликованы дополнительные инструкции по созданию полезной нагрузки и CAB-файла, который включал компонент уязвимости обхода пути.
В субботу, когда исследователи начали публиковать более подробную информацию на Github и Twitter, злоумышленники поделились дополнительной информацией о том, как создать все аспекты эксплойта.
Информация проста для понимания и позволяет любому создать свою собственную рабочую версию эксплойта CVE-2021-40444, включая сервер Python для распространения вредоносных документов и файлов CAB.
Защита от уязвимости CVE-2021-40444 MSHTML
Хорошая новость заключается в том, что с момента обнаружения уязвимости Microsoft Defender и другие программы безопасности могут обнаруживать и блокировать вредоносные документы и CAB-файлы, используемые в этой атаке.
Например, ниже вы можете увидеть, как Защитник Microsoft блокирует эксплойт при обнаружении «Trojan: Win32 / CplLoader.a» и «TrojanDownloader: HTML / Donoff.SA».
https://www.bleepingcomputer.com/news/microsoft/windows-mshtml-zero-day-exploits-shared-on-hacking-forums/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
Сегодня Microsoft устранила уязвимость нулевого дня высокой степени серьезности, которая активно использовалась в целевых атаках на Microsoft Office и Office 365 на компьютерах с Windows 10.
Недостаток безопасности удаленного выполнения кода (RCE), отслеживаемый как CVE-2021-40444, был обнаружен в движке рендеринга браузера MSHTML Internet Explorer, используемом документами Microsoft Office.
По данным Microsoft, CVE-2021-40444 влияет на Windows Server 2008 до 2019 и Windows 8.1 или новее, и имеет уровень серьезности 8,8 из 10 возможных.
«Microsoft выпустила обновления безопасности для устранения этой уязвимости», - заявила компания сегодня в информационном сообщении, опубликованном в рамках вторника исправлений в этом месяце.
«Пожалуйста, просмотрите таблицу обновлений безопасности, чтобы найти подходящее обновление для вашей системы. Мы рекомендуем вам немедленно установить эти обновления».
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-cve-2021-40444-mshtml-zero-day-bug/
Основные выводы
Уязвимость нулевого дня в Microsoft Word и Microsoft Explorer, раскрытая 7 сентября 2021 г. и получившая обозначение CVE-2021-40444, используется во вредоносных документах, которые поставляют настроенную версию Cobalt Strike BEACON, что более чем вероятно на первом этапе. полезная нагрузка.
Злоумышленники, стоящие за кампанией, также использовали «гибкие профили C2» Cobalt Strike - функцию, которая позволяет злоумышленникам изменять внешний вид своей инфраструктуры управления и контроля, чтобы лучше избегать обнаружения и сопоставления с образцом.
Мы оцениваем, что сетевая инфраструктура, используемая для управления имплантатами BEACON, доставляемыми эксплойтом, а также инфраструктура доставки эксплойтов охватывает более 200 активных серверов. Эта же группа использовала дополнительно 400 уникальных серверов за последний год. Мы прослеживаем оперативные корни этой конкретной кампании до февраля 2021 года.
Основываясь на множестве совпадающих шаблонов при настройке и использовании сетевой инфраструктуры, мы с высокой степенью уверенности оцениваем, что операторы, стоящие за кампанией нулевого дня, используют инфраструктуру, связанную с WIZARD SPIDER (CrowdStrike) и / или родственными группами UNC1878 (FireEye / Mandiant) и RYUK. (общедоступные), которые продолжают использовать вредоносные программы Ryuk / Conti и BazaLoader / BazarLoader в целевых кампаниях по вымогательству.
https://www.riskiq.com/blog/external-threat-management/wizard-spider-windows-0day-exploit/