捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行

admin
admin
admin
140350
文章
117
评论
2022年10月1日20:51:35评论46 views字数 1350阅读4分30秒阅读模式

漏洞描述

近日, 微软紧急发布Microsoft MSHTML 远程代码执行漏洞通告Microsoft MSHTML引擎存在远程代码执行漏洞,攻击者可通过制作带有恶意 ActiveX 控件的Microsoft Office 文档并诱导用户打开此文档来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。
微软在通告中提到,Microsoft Defender Antivirus 和 Microsoft Defender for Endpoint 都为已知漏洞提供检测和保护。客户应及时更新反恶意软件产品。使用自动更新的客户无需采取额外措施。管理更新的企业客户应选择检测版本 1.349.22.0 或更高版本,并在其环境中部署它。Microsoft Defender for Endpoint 警报将显示为:“可疑的 Cpl 文件执行”。

狩猎过程

狼蛛实验室在日常的APT攻击样本狩猎过程中,发现MSHTML远程代码执行漏洞存在在野利用,利用结合了过往Office漏洞CVE-2017-0199,通过远程获取hta文档执行恶意样本,下面是在野利用样本时间:
捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行

样本分析

黑客初期投递带有CVE-2017-0199的钓鱼文档,该文档通过远程模板,在内存中获取hta文档执行
捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行
远程的hta代码做了代码混淆,经分析发现该样本的主要功能是利用CVE-2021-40444获取木马控制目标用户
捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行
下载的恶意样本伪装成inf文件在内存中执行
捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行

漏洞验证

通过点击钓鱼文档,会首先触发远程模板注入漏洞,从远端获取恶意执行代码
捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行
之后弹出计算器程序
捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行

持续跟踪

持续跟踪狩猎0day的在野利用
捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行
捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行
经过分析CVE-2021-40444的漏洞原理,已编写yara规则尽可能覆盖后期的0day变种,进行后续的跟踪和狩猎。

缓解措施

默认情况下,Microsoft Office 在 Protected View 或 Application Guard for Office 中打开来自互联网的文档,这两者都可以防止当前的攻击。
具体解决办法详见以下两篇参考链接:
[1]https://success.trendmicro.com/portal_kb_articledetail?solutionid=000288999&refURL=http%3A%2F%2Fsuccess.trendmicro.com%2Fsolution%2F000288999(趋势)
[2]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444(微软)

关于我们

招贤纳士:
实验室介绍:狼蛛安全实验室以”情报驱动的威胁猎手”为核心,构建了面向威胁狩猎的全流程解决方案,可为客户解决网络攻击发现、线索扩线、落地核查、追踪溯源全流程业务需求。

公众号介绍:
公众号将每周更新当周较为重要的安全事件以供读者参考和发现新线索,不定期更新实用小工具、网络安全各方向(逆向、渗透、情报等)干货分享、重大安全事件梳理跟进情况等内容……

请发简历到 [email protected] 每一份简历我们都会认真对待。
捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行

► 狼蛛安全实验室

欢迎合作交流~

原文始发于微信公众号(狼蛛安全实验室):捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日20:51:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   捕获0day在野样本—CVE-2021-40444最新Microsoft MSHTML远程代码执行http://cn-sec.com/archives/1041907.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息