微软表示MSHTML漏洞在对有针对性的攻击中被利用

2021-09-30 09:11:28 0 1184

微软月中再次发文提醒用户尽快更新其月头发布的安全更新以解决 MSHTML 浏览器引擎中的一个远程代码执行 (RCE) 漏洞,理由是攻击者对该漏洞进行有针对性的网络钓鱼活动,该攻击活动利使用cve-2021-40444漏洞和使用特制的 Office 文档在受感染的 Windows 系统上部署 Cobalt Strike Beacon。





关于 CVE-2021-40444(CVSS 评分:8.8)的详细信息于 9 月 7 日首次出现,此前 EXPMON 的研究人员向微软发出了关于MSHTML(又名 Trident)中的远程代码执行漏洞,这是现已不再支持更新的 Internet Explorer 的专有浏览器引擎,在 Office 中用于在 Word、Excel 和 PowerPoint 文档中呈现 Web 内容。
微软表示,自那次披露以来,多个恶意攻击组织已将 PoC 包含在他们的攻击工具包中,其中包括勒索软件 RaaS 的运营商, 它为攻击者提供了一种通过嵌入在 Office 文档中的恶意 ActiveX 控件在系统上投放恶意软件的方法。收到 Office 文档的用户需要打开它才能触发恶意代码。在这些情况下,该漏洞将允许攻击者从外部来源下载内容,而不会触发 Windows 用来防止来自潜在不受信任来源的内容的常用“保护模式”控件。

在迄今为止观察到的许多攻击尝试中,攻击者利用上述漏洞来安装自定义 Cobalt Strike Beacon 一种可用于扫描网络漏洞的合法渗透测试工具。Proofpoint在今年早些时候的一份报告中表示,在 2019 年至 2020 年期间,恶意攻击者对CS的使用激增了 161%,并且在 2021 年这仍然是一个高数量的威胁。

微软于 9 月 7 日在一份公告中首次披露了该漏洞并发布了缓解措施和变通方法。连接如下 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

随后,于 9 月 14 日发布了针对 CVE-2021-40444 的补丁,作为每月安全更新的一部分。一个被微软认定为 DEV-0413 的攻击组织在8 月中旬便已经开始利用攻击该漏洞进行在野攻击,使其在被发现时成为零日漏洞。“DEV”是微软对它以前从未观察到的新兴威胁组织或活动集群的命名法。Mandiant 等其他公司使用术语“UNC”来跟踪以前未知的威胁组。

据微软称,DEV-0413 组织 8 月份的攻击具有非常高度针对性,影响的组织/公司数量还不到不到 10 个。最早的攻击发生在 8 月 18 日,攻击的主要手段为网络钓鱼,在这些攻击中,攻击者将恶意 ActiveX 控件嵌入到似乎与法律协议和合同有关的电子邮件中。

在微软发布了针对 CVE-2021-40444 的安全公告的第二天,第三方研究人员向微软报告了最初攻击的样本。该样本于 9 月 8 日公开披露。微软观察到在 24 小时内关于40444的漏洞利用有明显增加。



这是否表示了攻击者在发现微软的安全公告后气急败坏的开始广撒网,毕竟针对性目标的安全措施一做, 补丁一打那漏洞就没得玩了。

修复建议:

此刻关于cve-2021-40444的补丁已在9 月的安全更新得到解决,还没开启自动更新的小伙伴要尽快进行更新。
已打补丁的小伙伴也谨记开启Defender或其他好使的主机防护软件保护自己的电脑。

关于作者

ykxxxbc94615篇文章79篇回复

评论0次

要评论?请先  登录  或  注册