捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行

2022年10月1日20:51:35评论37 views字数 1350阅读4分30秒阅读模式

漏洞描述

近日，微软紧急发布Microsoft MSHTML 远程代码执行漏洞通告Microsoft MSHTML引擎存在远程代码执行漏洞，攻击者可通过制作带有恶意 ActiveX 控件的Microsoft Office 文档并诱导用户打开此文档来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。

微软在通告中提到，Microsoft Defender Antivirus 和 Microsoft Defender for Endpoint 都为已知漏洞提供检测和保护。客户应及时更新反恶意软件产品。使用自动更新的客户无需采取额外措施。管理更新的企业客户应选择检测版本 1.349.22.0 或更高版本，并在其环境中部署它。Microsoft Defender for Endpoint 警报将显示为：“可疑的 Cpl 文件执行”。

狩猎过程

狼蛛实验室在日常的APT攻击样本狩猎过程中，发现MSHTML远程代码执行漏洞存在在野利用，利用结合了过往Office漏洞CVE-2017-0199，通过远程获取hta文档执行恶意样本，下面是在野利用样本时间:

捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行

样本分析

黑客初期投递带有CVE-2017-0199的钓鱼文档，该文档通过远程模板，在内存中获取hta文档执行

远程的hta代码做了代码混淆，经分析发现该样本的主要功能是利用CVE-2021-40444获取木马控制目标用户

下载的恶意样本伪装成inf文件在内存中执行

漏洞验证

通过点击钓鱼文档，会首先触发远程模板注入漏洞，从远端获取恶意执行代码

之后弹出计算器程序

持续跟踪

持续跟踪狩猎0day的在野利用

经过分析CVE-2021-40444的漏洞原理，已编写yara规则尽可能覆盖后期的0day变种，进行后续的跟踪和狩猎。

缓解措施

默认情况下，Microsoft Office 在 Protected View 或 Application Guard for Office 中打开来自互联网的文档，这两者都可以防止当前的攻击。

具体解决办法详见以下两篇参考链接：

[1]https://success.trendmicro.com/portal_kb_articledetail?solutionid=000288999&refURL=http%3A%2F%2Fsuccess.trendmicro.com%2Fsolution%2F000288999（趋势）
[2]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444（微软）

关于我们

招贤纳士：
实验室介绍：狼蛛安全实验室以”情报驱动的威胁猎手”为核心，构建了面向威胁狩猎的全流程解决方案，可为客户解决网络攻击发现、线索扩线、落地核查、追踪溯源全流程业务需求。

公众号介绍：
公众号将每周更新当周较为重要的安全事件以供读者参考和发现新线索，不定期更新实用小工具、网络安全各方向（逆向、渗透、情报等）干货分享、重大安全事件梳理跟进情况等内容……

请发简历到 [email protected] 每一份简历我们都会认真对待。

► 狼蛛安全实验室

欢迎合作交流~

原文始发于微信公众号（狼蛛安全实验室）：捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行

左青龙
微信扫一扫

右白虎
微信扫一扫

捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行

用友-政务-FileDownload-任意文件读取漏洞复现

卡车卫星定位系统/user/create存在未授权密码重置漏洞

用友-U8-Cloud-TableInputOperServlet存在反序列化漏洞

CVE-2024-26503

致远互联 OA fileUpload.do 文件上传漏洞

某世界500强企业|存在通杀漏洞(0day)

CVE-2024-32409 POC

【Weblogic 文件上传漏洞（CVE-2019-2618）

Weblogic 任意文件读取漏洞（CVE-2019-2615)

用友U8 slbmbygr.jsp 存在sql注入

发表评论

在线咨询

微信