微软发现利用CVE-2021-40444漏洞的攻击活动。

MSHTML是Windows中用来渲染web页面的软件组件。虽然主要与IE相关，但也用于其他版本，包括Skype、Outlook、Visual Studio等。研究人员在MSHTML中发现的0 day漏洞CVE编号为CVE-2021-40444，CVSS评分为8.8分。

8月微软研究人员发现了一小波使用伪造的office文件来利用该漏洞的攻击活动，该攻击活动是分发定制的Cobalt Strike Beacon加载器的攻击活动的一部分。这些加载器会与一个基础设施进行通信。

漏洞利用机制

8月份的攻击活动貌似来源于保存在文件共享站点的伪装成合同和法律协议的邮件。漏洞利用文件使用外部oleObject 关系将可利用的JS代码嵌入到MIME HTML文件，这些远程内容会引发包含DLL的CAB文件下载；解压CAB文件；DLL内的函数执行。DLL会提取远程保存的shellcode（定制的Cobalt Strike Beacon加载器）并将shellcode加载到wabmig.exe中。

图 1. 原始漏洞利用向量

内容是从标记为mark of the web的外部源下载的，表明该内容是从可能不信任的源下载的。这会引发微软office中的保护模式，要求用户交互来禁用其中运行内容。如果打开没有mark of the web标记的文档，文件的payload会立刻无需用户交互的执行，这样就可以滥用该漏洞。

图 2. 使用CVE-2021-40444漏洞的攻击链

利用 CVE-2021-40444漏洞的DEV-0413

研究人员将与Cobalt Strike基础设施相关的网络犯罪组织命名为DEV-0365。DEV-0365 的基础设施与之前的一些犯罪组织的基础设施有一些相似支持，表明它可能是由不同的运营者来创建或管理的。但基础设施随后的攻击活动表明与多个勒索软件攻击者相关。可能的解释是DEV-0365可能是一种C2基础设施即服务的一部分。

此外，一些保存2021年8月的攻击活动中使用的 oleObjects 的基础设施也参与了传播BazaLoader和Trickbot payload的攻击活动，即DEV-0365与另一个黑客组织DEV-0193有一定的重叠和交叉。

此外，研究人员在监控 DEV-0413攻击活动的过程中，微软发现保存CVE-2021-40444内容的DEV-0413基础设施并没有应用基本的安全准则。DEV-0413并没有限制浏览器代理访问服务器，因此可以列出web服务器的目录。因此，攻击者会暴露其漏洞利用给所有人。

图 3. 寻求应用开发者的邮件

在DEV-0413 8月份的活动中至少有一个被黑客成功入侵的组织之前也被类似的与DEV-0365基础设施交互的恶意软件入侵过。在9月1日的DEV-0413活动中，微软识别了一个诱饵文件的变化，如下图所示：

图 4. DEV-0413 使用的诱饵邮件

漏洞利用自8月份开始的时间轴如下图所示：

图 5. 漏洞利用时间

参考及来源：https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/