新漏洞让恶意软件攻击者绕过 Microsoft MSHTML 严重漏洞的补丁

已经观察到一个短期网络钓鱼活动利用一种新颖的漏洞利用绕过 Microsoft 放置的补丁来修复影响 MSHTML 组件的远程代码执行漏洞，目的是提供 Formbook 恶意软件。

“这些附件代表攻击者滥用 CVE-2021-40444 漏洞的升级，并表明即使补丁也不能总是减轻有动机且足够熟练的攻击者的行为，”SophosLabs 研究人员 Andrew Brandt 和 Stephen Ormandy 在一份报告中说。周二发布的新报告。

CVE-2021-40444（CVSS 评分：8.8）与 MSHTML 中的远程代码执行漏洞有关，可使用特制的 Microsoft Office 文档利用该漏洞。尽管微软在 2021 年 9 月补丁星期二更新中解决了安全漏洞，但自从与该漏洞有关的细节公开以来，它已被用于多次攻击。

同月，这家科技巨头发现了一项有针对性的网络钓鱼活动，该活动利用该漏洞在受感染的 Windows 系统上部署 Cobalt Strike Beacons。然后在 11 月，SafeBreach Labs 报告了伊朗威胁行为者行动的详细信息，该行动使用旨在收集敏感信息的新的基于 PowerShell 的信息窃取程序针对讲波斯语的受害者。

Sophos 发现的新活动旨在通过改变公开可用的概念验证 Office 漏洞并将其武器化以分发 Formbook 恶意软件来绕过补丁的保护。这家网络安全公司表示，这次攻击的成功部分归功于“过于专注的补丁”。

微软 MSHTML RCE
研究人员解释说：“在 CVE-2021-40444 漏洞的初始版本中，[该] 恶意 Office 文档检索了打包到 Microsoft 文件柜（或 .CAB）文件中的恶意软件负载。” “当微软的补丁关闭了这个漏洞时，攻击者发现他们可以通过将恶意文档封装在一个特制的 RAR 档案中来完全使用不同的攻击链。”

CAB-less 40444，即修改后的漏洞利用程序，在 10 月 24 日至 25 日之间持续了 36 小时，在此期间，包含格式错误的 RAR 存档文件的垃圾邮件被发送给潜在受害者。反过来，RAR 文件包含一个用 Windows 脚本宿主 (WSH) 编写的脚本和一个 Word 文档，该文档在打开时会联系托管恶意 JavaScript 的远程服务器。

因此，JavaScript 代码利用 Word 文档作为渠道来启动 WSH 脚本并在 RAR 文件中执行嵌入的 PowerShell 命令，以从攻击者控制的网站检索 Formbook 恶意软件负载。

至于为什么这个漏洞在使用了一天多一点的时候就消失了，线索在于修改后的 RAR 存档文件不能与旧版本的 WinRAR 实用程序一起使用。研究人员说：“因此，出乎意料的是，在这种情况下，使用较旧、过时版本的 WinRAR 的用户将比使用最新版本的用户得到更好的保护。”

SophosLabs 首席研究员 Andrew Brandt 说：“这项研究提醒人们，仅靠修补无法在所有情况下防范所有漏洞。” “设置限制以防止用户意外触发恶意文档会有所帮助，但人们仍然可能被引诱点击‘启用内容’按钮。”

“因此，教育员工并提醒他们对电子邮件文件保持怀疑至关重要，尤其是当他们以不认识的人或公司的不寻常或不熟悉的压缩文件格式到达时，”布兰特补充道。