Эксплойты нулевого дня Windows MSHTML опубликованы на форумах хакеров

Злоумышленники делятся учебными пособиями и эксплойтами Windows MSHTML нулевого дня (CVE-2021-40444) на хакерских форумах, что позволяет другим хакерам начать использовать новую уязвимость в своих собственных атаках.

В прошлый вторник Microsoft раскрыла новую уязвимость нулевого дня в Windows MSHTML, которая позволяет злоумышленникам создавать вредоносные документы, включая документы Office и RTF, для удаленного выполнения команд на компьютере жертвы.

Несмотря на то, что для уязвимости CVE-2021-40444 нет доступных обновлений безопасности, поскольку она была обнаружена в активных атаках EXPMON и Mandiant, Microsoft решила раскрыть уязвимость и предоставить меры по предотвращению ее эксплуатации.

Эти меры защиты работают путем блокировки элементов управления ActiveX и предварительного просмотра документов Word / RTF в проводнике Windows.

Однако исследователи смогли изменить эксплойт, чтобы не использовать ActiveX, эффективно обходя меры защиты Microsoft.

Руководства и PoC опубликованы на хакерских форумах

Когда Microsoft впервые раскрыла Windows MSHTML нулевого дня, отслеживаемую как CVE-2021-40444, исследователи безопасности быстро обнаружили вредоносные документы, используемые в атаках.

Вскоре они воспроизвели эксплойты, модифицировали их для расширения возможностей и обнаружили новый вектор предварительного просмотра документа, но исследователи не раскрывали подробностей из опасения, что другие злоумышленники воспользуются им.

К сожалению, злоумышленники смогли воспроизвести эксплойт самостоятельно на основе информации и образцов вредоносных документов, размещенных в Интернете, и начали делиться подробными руководствами и информацией на хакерских форумах.

С четверга злоумышленники начали делиться общедоступной информацией о HTML-компоненте эксплойта и о том, как создать вредоносный документ. В пятницу были опубликованы дополнительные инструкции по созданию полезной нагрузки и CAB-файла, который включал компонент уязвимости обхода пути.

В субботу, когда исследователи начали публиковать более подробную информацию на Github и Twitter, злоумышленники поделились дополнительной информацией о том, как создать все аспекты эксплойта.

Информация проста для понимания и позволяет любому создать свою собственную рабочую версию эксплойта CVE-2021-40444, включая сервер Python для распространения вредоносных документов и файлов CAB.

Защита от уязвимости CVE-2021-40444 MSHTML

Хорошая новость заключается в том, что с момента обнаружения уязвимости Microsoft Defender и другие программы безопасности могут обнаруживать и блокировать вредоносные документы и CAB-файлы, используемые в этой атаке.

Например, ниже вы можете увидеть, как Защитник Microsoft блокирует эксплойт при обнаружении «Trojan: Win32 / CplLoader.a» и «TrojanDownloader: HTML / Donoff.SA».

https://www.bleepingcomputer.com/news/microsoft/windows-mshtml-zero-day-exploits-shared-on-hacking-forums/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • Microsoft исправляет ошибку нулевого дня в Windows CVE-2021-40444 MSHTML

    Сегодня Microsoft устранила уязвимость нулевого дня высокой степени серьезности, которая активно использовалась в целевых атаках на Microsoft Office и Office 365 на компьютерах с Windows 10.

    Недостаток безопасности удаленного выполнения кода (RCE), отслеживаемый как CVE-2021-40444, был обнаружен в движке рендеринга браузера MSHTML Internet Explorer, используемом документами Microsoft Office.

    По данным Microsoft, CVE-2021-40444 влияет на Windows Server 2008 до 2019 и Windows 8.1 или новее, и имеет уровень серьезности 8,8 из 10 возможных.

    «Microsoft выпустила обновления безопасности для устранения этой уязвимости», - заявила компания сегодня в информационном сообщении, опубликованном в рамках вторника исправлений в этом месяце.

    «Пожалуйста, просмотрите таблицу обновлений безопасности, чтобы найти подходящее обновление для вашей системы. Мы рекомендуем вам немедленно установить эти обновления».

    https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-cve-2021-40444-mshtml-zero-day-bug/

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.