Nový Exploit umožňuje malvérovým útočníkom obísť opravu kritickej chyby Microsoft MSHTML

Microsoft MSHTML RCE

Bola pozorovaná krátkodobá phishingová kampaň, ktorá využívala nový exploit, ktorý obišiel opravu zavedenú spoločnosťou Microsoft na opravu zraniteľnosti spustenia vzdialeného kódu ovplyvňujúceho komponent MSHTML s cieľom dodať malvér Formbook.

“Prílohy predstavujú eskaláciu útočníkovho zneužitia chyby CVE-2021-40444 a demonštrujú, že ani záplata nemôže vždy zmierniť činy motivovaného a dostatočne kvalifikovaného útočníka,” uviedli výskumníci zo SophosLabs Andrew Brandt a Stephen Ormandy. nová správa zverejnená v utorok.

CVE-2021-40444 (skóre CVSS: 8.8) sa týka chyby spustenia vzdialeného kódu v MSHTML, ktorú by bolo možné zneužiť pomocou špeciálne vytvorených dokumentov balíka Microsoft Office. Hoci spoločnosť Microsoft riešila túto slabú stránku zabezpečenia v rámci svojich aktualizácií opravného utorok zo septembra 2021, odkedy sa zverejnili podrobnosti týkajúce sa chyby, začala sa používať pri viacerých útokoch.

V tom istom mesiaci technologický gigant odhalil cielenú phishingovú kampaň, ktorá využila zraniteľnosť na nasadenie Cobalt Strike Beacons na napadnutých Windows systémov. V novembri potom laboratóriá SafeBreach oznámili podrobnosti o operácii iránskeho aktéra hrozby, ktorý sa zameral na obete hovoriace perzsky, pomocou nového kradéra informácií na báze PowerShell, ktorý je určený na zhromažďovanie citlivých informácií.

Nová kampaň, ktorú objavila spoločnosť Sophos, má za cieľ obísť ochranu opravy morfovaním verejne dostupného overeného konceptu Office a jeho zbraňovaním na distribúciu malvéru Formbook. Spoločnosť zaoberajúca sa kybernetickou bezpečnosťou uviedla, že úspech útoku možno čiastočne pripísať “príliš úzko zameranej záplate”.

Microsoft MSHTML RCE

“V počiatočných verziách CVE-2021-40444 exploity, [the] škodlivý dokument Office načítal obsah malvéru zabalený do súboru Microsoft Cabinet (alebo .CAB),“ vysvetlili vedci. „Keď oprava Microsoftu túto medzeru odstránila, útočníci zistili, že môžu použiť úplne iný reťazec útokov uzavretím maldocu do špeciálne vytvoreného archív RAR.”

CAB-less 40444, ako sa upravený exploit nazýva, trval medzi 24. a 25. októbrom 36 hodín, počas ktorých boli potenciálnym obetiam odosielané spamové e-maily obsahujúce poškodený archívny súbor RAR. Súbor RAR zase obsahoval skript napísaný v Windows Script Host (WSH) a dokument programu Word, ktorý po otvorení kontaktoval vzdialený server, ktorý hostí škodlivý JavaScript.

V dôsledku toho kód JavaScript využil dokument Word ako kanál na spustenie skriptu WSH a vykonanie vloženého príkazu PowerShell v súbore RAR na načítanie obsahu škodlivého softvéru Formbook z webovej lokality kontrolovanej útočníkom.

Pokiaľ ide o to, prečo exploit zmizol o niečo viac ako deň používania, vodítka spočívajú v skutočnosti, že upravené archívne súbory RAR by nefungovali so staršími verziami pomôcky WinRAR. “Takže neočakávane by v tomto prípade boli používatelia oveľa staršej, zastaranej verzie WinRAR chránení lepšie ako používatelia najnovšej verzie,” uviedli vedci.

“Tento výskum je pripomienkou toho, že samotné opravovanie nemôže vo všetkých prípadoch ochrániť pred všetkými zraniteľnosťami,” povedal hlavný výskumník SophosLabs Andrew Brandt. “Nastavenie obmedzení, ktoré zabránia používateľovi v neúmyselnom spustení škodlivého dokumentu, pomáha, no ľudí možno stále nalákať na kliknutie na tlačidlo ‘povoliť obsah’.”

„Je preto životne dôležité vzdelávať zamestnancov a pripomínať im, aby boli podozriví z dokumentov odosielaných e-mailom, najmä keď prichádzajú v neobvyklých alebo neznámych formátoch komprimovaných súborov od ľudí alebo spoločností, ktoré nepoznajú,“ dodal Brandt. Keď sa hovorca Microsoftu dotkol odpovede, uviedol, že „prešetrujeme tieto správy a podľa potreby podnikneme potrebné kroky, aby sme ochránili zákazníkov.“

Aktualizácia: Microsoft pre The Hacker News povedal, že vyššie uvedené zneužitie bolo skutočne vyriešené bezpečnostnými aktualizáciami, ktoré boli vydané v septembri 2021. Sophos teraz poznamenáva, že exploit 40444 bez CAB „sa mohol vyhnúť zmierňovaniu CVE-2021-40444 bez septembrovej opravy zameranej na Útok v štýle CAB“ a že záplata blokuje škodlivé správanie.