本文的標題是《Windows零日漏洞(CVE-2021-40444),通過Office Docs觸發》來源于:由作者:陳召席采編而成,主要講述了微軟披露了一個新的零日漏洞(CVE-2021-40444
微軟披露了一個新的零日漏洞(CVE-2021-40444),該漏洞存在于Windows IE MSHTML中,影響多個版本的Windows。該漏洞目前通過惡意Office 365文檔傳播,需要用戶打開文件才能觸發漏洞。值得注意的是,默認情況下,從Internet下載的Office文檔在受保護的視圖或應用程序防護中打開,這兩者都可以緩解這種特定的攻擊。
如果攻擊者能夠誘使受害者下載文件并繞過任何緩解措施,則會觸發該漏洞,從而利用惡意ActiveX控制來利用office 365和office 2019來在受影響的Windows 10主機上下載和安裝惡意軟件。目前,該漏洞被用于投遞Cobalt Strike有效載荷。
這些漏洞的文檔樣本包中的document.xml.rels文件中都包含以下代碼:
圖1. 具有XML關系的代碼
該代碼中存在一個URL(已打碼),該URL將下載名為side.html的文件(SHA-256:d0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6)。該文件包含混淆的JavaScript,圖2顯示了部分反混淆后的代碼。
圖2. 反混淆的JavaScript代碼
在這段代碼中可以看到幾個動作:它下載一個.CAB 文件,從下載的.CAB文件中提取一個.DLL文件,并使用路徑遍歷攻擊來運行championship.inf文件。
最終,將執行championship.inf文件,如下所示:
圖3. 執行的有效載荷的屬性
此有效載荷是Cobalt Strike beacon(SHA-256:6eedf45cb91f6762de4e35e36bcb03e5ad60ce9ac5a08caeb7eda035cd74762b)。與典型的Cobalt Strike一樣,這可能允許攻擊者控制受影響的系統。惡意Office文件被檢測為Trojan.W97M.CVE202140444.A,惡意.CAB文件被檢測為Trojan.Win64.COBEACON.SUZ。
目前,微軟尚未發布官方補丁。因此,建議用戶只打開來自可信源的附件,這可以大大降低此威脅的風險,因為該漏洞的觸發需要用戶交互。
IOC
Payload(.CAB)
1fb13a158aff3d258b8f62fe211fabeed03f0763b2acadbccad9e8e39969ea00
Exploited Doc
5b85dbe49b8bc1e65e01414a0508329dc41dc13c92c08a4f14c71e3044b06185
3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf
199b9e9a7533431731fbb08ff19d437de1de6533f3ebbffc1e13eeffaa4fd455
938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52
d0e1f97dbe2d0af9342e64d460527b088d85f96d38b1d1d4aa610c0987dca745
a5f55361eff96ff070818640d417d2c822f9ae1cdd7e8fa0db943f37f6494db9
Payload (.DLL)
6eedf45cb91f6762de4e35e36bcb03e5ad60ce9ac5a08caeb7eda035cd74762b
Downloaded JS
d0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6
,通過Office%20Docs觸發.jpg "Windows零日漏洞(CVE-2021-40444),通過Office Docs觸發(Windows零售版)插圖6")
本文原作者為陳召席,轉載請注明:出處!如該文有不妥之處,請聯系站長刪除,謝謝合作~
原創文章,作者:陳召席,如若轉載,請注明出處:http://www.uuuxu.com/20220512315586.html
