Vulnerabilidad de ejecución remota de código MSHTML de Microsoft

08:19 13/09/2021 | 2 Lượt xem

El Cybereason Global Security Operations Center (SOC) emite alertas de amenazas Cybereason para informar a los clientes sobre las amenazas emergentes que impactan. Las alertas resumen estas amenazas y brindan recomendaciones prácticas para protegerse contra ellas.

¿Qué está pasando?

Cybereason GSOC’s Managed Detection and Response (MDR) está investigando CVE-2021-40444, una vulnerabilidad crítica en el motor de procesamiento de contenido web MSHTML (Lenguaje de marcado de hipertexto de Microsoft) que utilizan las aplicaciones de Microsoft Office. Esta vulnerabilidad permite a los atacantes utilizar controles ActiveX maliciosos para ejecutar código arbitrario en los sistemas de destino.

Esta alerta de amenaza se centra en la vulnerabilidad CVE-2021-40444 explotada a través de documentos maliciosos de Office. Sin embargo, otras aplicaciones que también utilizan el motor MSHTML, como Internet Explorer, también podrían ser vectores para aprovechar la vulnerabilidad.

Observaciones clave

    • Vulnerabilidad de día cero: Los adversarios han aprovechado CVE-2021-40444 como una vulnerabilidad de día cero para ejecutar código malicioso en los sistemas de destino.
    • Ingeniería social: Para aprovechar la vulnerabilidad CVE-2021-40444, un atacante engañaría al usuario para que abriera un documento de Office específicamente diseñado y haga clic en Contenido disponible para deshabilitar Microsoft Office Vista protegida recurso. O Vista protegida La función está habilitada de forma predeterminada y bloquea la ejecución de códigos potencialmente maliciosos en el contexto de los documentos de Office.
    • No hay parches disponibles: No hay parches disponibles para CVE-2021-40444 en el momento en que se escribió esta Alerta de amenaza. Cybereason recomienda que desactive los controles ActiveX si estos controles no son necesarios en la máquina. El equipo de Cybereason ofrece más recomendaciones sobre el Recomendaciones de Cybereason sección siguiente.

Análisis

CVE-2021-40444 es una vulnerabilidad crítica en el motor de renderizado MSHTML. Las aplicaciones de Microsoft Office utilizan el motor MSHTML para representar y mostrar contenido web. Un adversario que explote con éxito CVE-2021-40444 puede obtener el control total sobre un sistema de destino mediante el uso de controles ActiveX maliciosos para ejecutar código arbitrario.

Los actores malintencionados están explotando CVE-2021-40444 utilizando documentos de Microsoft Office creados específicamente. Un documento típico utiliza el motor MSHTML para abrir un sitio web malicioso alojado en un punto final controlado por un atacante. Este sitio existe como un objeto de vinculación e incrustación de objetos (OLE) MIME HTML (MHTML) en el contexto del documento. El sitio web ejecuta código JavaScript y controles ActiveX que luego ejecutan código malicioso en el sistema donde se abrió el documento de Office malicioso. Este código está alojado en el punto final controlado por el atacante en forma de biblioteca de vínculos dinámicos (DLL).

Para aprovechar la vulnerabilidad CVE-2021-40444, un atacante engañaría al usuario para que abriera un documento de Office específicamente diseñado y haga clic en Contenido disponible para deshabilitar Microsoft Office Vista protegida recurso. O Vista protegida La función está habilitada de forma predeterminada y bloquea la ejecución de códigos potencialmente maliciosos en el contexto de los documentos de Office.

Una exploración específica de CVE-2021-40444 observada en la práctica involucra las siguientes actividades:

    • Un actor malintencionado engaña al usuario para que abra un documento de Microsoft Office que contiene un objeto OLE MHTML que es un sitio web alojado en un punto final controlado por un atacante.

sin nombre-2Un objeto MSHTML OLE en un documento de Microsoft Office creado específicamente

    • El sitio ejecuta código JavaScript ofuscado que crea una instancia de los controles ActiveX:

sin nombre-Sep-10-2021-06-38-08-76-PMCódigo JavaScript ofuscado que crea una instancia de los controles ActiveX

    • El código del sitio recupera y abre un archivo contenedor (.taxi) archivo llamado ministerio.cabina el punto final controlado por el atacante. Este archivo contiene una DLL maliciosa llamada championship.inf.
    • El código del sitio ejecuta el championship.inf archivar como Panel de control (.cpl) archivo usando el Panel de control utilidad control.exe. Por ejemplo, el código del sitio puede ejecutar el siguiente comando:
      control.exe .cpl: ../../../ AppData / Local / Temp / championship.inf.
    • O control.exe La utilidad se ejecuta como un proceso secundario del proceso que aloja la aplicación de Microsoft Office que abrió el documento de Office, como winword.exe.
    • El archivo dll malicioso championship.inf se ejecuta en el contexto de rundll32.exe Utilidad de Windows.

Recomendaciones de Cybereason

Cybereason recomienda lo siguiente:

    • Desactive los controles ActiveX si estos controles no son necesarios en la máquina. Para hacer esto, configure los valores de registro asociados realizando lo siguiente Archivo de registro de Windows (.reg) y reiniciando el sistema:

Editor del registro de Windows, versión 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones]

“1001” = dword: 00000003

“1004” = dword: 00000003

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones1]

“1001” = dword: 00000003

“1004” = dword: 00000003

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2]

“1001” = dword: 00000003

“1004” = dword: 00000003

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones3]

“1001” = dword: 00000003

“1004” = dword: 00000003

    • Si no desea deshabilitar los controles ActiveX, asegúrese de no hacer clic Contenido disponible al ver documentos de Office que se originan en fuentes no confiables. haciendo clic Contenido disponible deshabilita Microsoft Office Vista protegida recurso.
    • Eduque a los usuarios para que no abran documentos de Office de fuentes no confiables o hagan clic Contenido disponible cuando abren dichos documentos.
    • Búsqueda de amenazas con Cybereason: El equipo de Cybereason MDR ofrece a sus clientes consultas de búsqueda personalizadas para detectar amenazas específicas, para obtener más información sobre la búsqueda de amenazas y Detección y respuesta gestionadas con Cybereason Defense Platform, póngase en contacto con un Cybereason Defender aquí.
      • Para los clientes de Cybereason: Más detalles disponible en NEST incluidas consultas de búsqueda de amenazas personalizadas para detectar esa amenaza y una lista de indicadores de amenaza (IOC) relacionados con la amenaza.

Sobre el investigador:

Aleksandar Milenkoski, analista de seguridad sénior, Cybereason Global SOC

Aleksandar Milenkoski es analista de seguridad senior en el equipo Cybereason Global SOC (GSOC). Está involucrado principalmente en actividades de investigación de amenazas e ingeniería inversa. Aleksandar tiene un doctorado en el campo de la seguridad de sistemas. Antes de Cybereason, su trabajo se centró en la investigación en el área de detección de intrusos e ingeniería inversa de los mecanismos de seguridad del sistema operativo Windows 10.

Related Posts

Agregar fondos a archivos PDF

Este artículo explicará cómo agregar un fondo a un PDF con Foxit PDF Editor. Para agregar un nuevo fondo, haga lo siguiente: 1. Abra un documento al que desee agregar un fondo y elija...

lên đầu trang