一些研究人员独立报告了MSHTML对微软的一个0天远程代码执行漏洞。根据微软的报告,该漏洞被几位研究人员报告的原因可能在于,使用该漏洞的攻击数量有限安全更新.

微软已经意识到,有针对性的攻击试图通过使用特别制作的Microsoft Office文档来利用这个漏洞。

MSHTML是一个用于在Windows上渲染网页的软件组件。尽管它通常与Internet Explorer联系在一起,但它也被用于其他软件,包括Skype、Microsoft Outlook、Visual Studio等版本。

必威平台APP如本文下方所示,Malwarebytes会阻止相关的恶意powershell代码执行。

CVE-2021-40444

公共漏洞和暴露(CVE)数据库中列出了公开披露的计算机安全漏洞。其目标是使跨单独的漏洞功能(工具、数据库和服务)共享数据变得更容易。这一个已经被指定了名称CVE-2021-40444CVSS标准用于帮助安全研究人员、软件用户和漏洞跟踪组织测量和报告漏洞的严重性。CVSS还可以帮助安全团队和开发人员确定威胁的优先级,并有效分配资源。

网络安全和基础设施安全局在推特上写道鼓励用户和组织可以查看Microsoft的缓解措施和解决办法,以解决CVE-2021-40444问题。

ActiveX

由于MSHTML是Internet Explorer的击败心脏,因此该浏览器中也存在该漏洞。虽然使用有限的使用,但是该载体的感染风险很少。但Microsoft Office应用程序,但是,使用MSHTML组件在Office文档中显示Web内容。

该攻击取决于MSHTML在目标打开恶意办公文档时加载特制的ActiveX控件。然后,已加载的ActiveX控件可以运行任意代码来感染更多恶意软件。

因此,攻击者将不得不欺骗用户打开恶意文档。但我们都知道一些攻击者在这方面有多么出色。

缓解

目前,所有受支持的Windows版本都易受攻击。由于目前还没有可用的补丁,微软提出了几种方法来阻止这些攻击。

  • 通过注册表禁用Internet Explorer中的所有ActiveX控件的安装。以前安装的ActiveX控件仍然会运行,但不会添加新的,包括恶意。
  • 在受保护的视图中从Internet打开文档,或在Office的Application Guard中打开文档,这两者都可以防止当前的攻击。这是默认设置,但可能已更改。

尽管缺少一个补丁,所有版本的Malwarebytes目前阻止这个威胁,如下所示。必威平台APP必威平台APP恶意软件字节也能检测到最终的有效载荷——Cobalt Strike,而且已经这样做了多年,这意味着即使威胁行为者禁用了反利用功能,Cobalt Strike本身仍然会被检测到。

Malwarebytes团队的屏幕截必威平台APP图显示了对该威胁的主动检测
马尔瓦雷星云的截图显示了对这种威胁的必威平台APP积极探测
恶意软件团队阻止最终有效负载的截必威平台APP图
Malwarebytes反漏洞攻必威平台APP击阻止漏洞攻击有效负载过程的屏幕截图

注册表更改

修改注册表可能会产生不可预见的结果,所以在更改注册表之前请先创建备份!当您想在以后撤消更改时,它也可以派上用场。

要创建备份,请打开Regedit并深入到要备份的键(如果存在):

微软HKEY_LOCAL_MACHINE \ SOFTWARE \政策\ \ Windows \ CurrentVersion \ \区域网络设置

右键单击注册表窗格左侧的项并选择“导出”。按照提示,将创建的reg文件保存在一个易于找到的位置。

注册表导出

要使建议的更改,请在以下脚本中打开文本文件和粘贴。确保所有代码框内容粘贴到文本文件中!

Windows注册表编辑器版本5.00[HKEY\U LOCAL\U MACHINE\SOFTWARE\Policys\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]“1001”=dword:00000003“1004”=dword:00000003[HKEY\U LOCAL\U MACHINE\SOFTWARE\Policys\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]“1001”=dword:00000003“1004”=dword:00000003[HKEY\U LOCAL\U MACHINE\SOFTWARE\Policys\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]“1001”=dword:00000003“1004”=dword:00000003[HKEY\U LOCAL\U MACHINE\SOFTWARE\Policys\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]“1001”=dword:00000003“1004”=dword:00000003

以.reg文件扩展名保存文件。右键单击文件并选择Merge。系统将提示您将信息添加到注册表中,同意,然后重新启动计算机。

2021年9月9日更新

研究人员只花了几天时间就绕过了微软提出的缓解措施。一旦他们能够找到一个恶意Word文档的样本,他们就开始分析它的工作原理,并在微软提出的防御策略中找出漏洞。

其中一个摇摆不定的支柱是Web标记(MoTW),该标记用于下载文件。除非用户单击“启用编辑”按钮,否则这只能阻止利用漏洞。可悲的是,经验告诉我们,相信他们不会那样做不是一个好主意。这个标志的另一个问题是,当它被其他应用程序处理时,例如解压,它就无法生存。另一个问题是某些文件类型使用相同的MSHTML查看webcontent,但不受Office受保护视图安全功能的保护。研究员将是Dormann.能够使用RTF文件复制攻击。

我们发布的注册表修复程序旨在阻止ActiveX控件在Internet Explorer中运行,本应有效阻止当前的攻击。但是,安全研究员凯文·博蒙特已经发现了一种方法绕过微软当前的缓解措施,利用该漏洞。

攻击链

研究人员还利用一组有限的恶意docx文件样本,成功地重建了攻击链。

  • 一旦用户单击“启用编辑”按钮,该漏洞将加载side.html通过使用mhtml协议打开URL。这个side.html文件托管在远程站点,并将作为Word模板加载。
  • ie浏览器将启动加载HTML,其混淆的JavaScript代码将利用CVE-2021-40444漏洞创建恶意ActiveX控件。
  • 此ActiveX控件将下载一个ministry.cab来自远程站点的文件。
  • 提取一个锦标赛文件,它实际上是一个DLL,并使用rundll32.exe作为CPL文件执行它。
  • 最终有效载荷是一个钴打击信标,这将允许威胁行动者获得远程访问设备。

考虑到离下周二的补丁还有几天,微软是否能拿出一个有效的补丁是值得怀疑的。

我很高兴Malwarebytes不依赖于motwflag。必威平台APP

Office漏洞已被阻止
这就是当我试图“编辑”研究人员分析的单词doc时发生的情况

大家注意安全!