微軟發(fā)現(xiàn)利用CVE-2021-40444漏洞的攻擊活動。

　　MSHTML是Windows中用來渲染web頁面的軟件組件。雖然主要與IE相關(guān)，但也用于其他版本，包括Skype、Outlook、Visual Studio等。研究人員在MSHTML中發(fā)現(xiàn)的0 day漏洞CVE編號為CVE-2021-40444，CVSS評分為8.8分。

　　8月微軟研究人員發(fā)現(xiàn)了一小波使用偽造的office文件來利用該漏洞的攻擊活動，該攻擊活動是分發(fā)定制的Cobalt Strike Beacon加載器的攻擊活動的一部分。這些加載器會與一個基礎(chǔ)設(shè)施進行通信。

　　漏洞利用機制

　　8月份的攻擊活動貌似來源于保存在文件共享站點的偽裝成合同和法律協(xié)議的郵件。漏洞利用文件使用外部oleObject 關(guān)系將可利用的JS代碼嵌入到MIME HTML文件，這些遠(yuǎn)程內(nèi)容會引發(fā)包含DLL的CAB文件下載；解壓CAB文件；DLL內(nèi)的函數(shù)執(zhí)行。DLL會提取遠(yuǎn)程保存的shellcode（定制的Cobalt Strike Beacon加載器）并將shellcode加載到wabmig.exe中。

　　圖 1. 原始漏洞利用向量

　　內(nèi)容是從標(biāo)記為mark of the web的外部源下載的，表明該內(nèi)容是從可能不信任的源下載的。這會引發(fā)微軟office中的保護模式，要求用戶交互來禁用其中運行內(nèi)容。如果打開沒有mark of the web標(biāo)記的文檔，文件的payload會立刻無需用戶交互的執(zhí)行，這樣就可以濫用該漏洞。

　　圖 2. 使用CVE-2021-40444漏洞的攻擊鏈

　　利用 CVE-2021-40444漏洞的DEV-0413

　　研究人員將與Cobalt Strike基礎(chǔ)設(shè)施相關(guān)的網(wǎng)絡(luò)犯罪組織命名為DEV-0365。DEV-0365 的基礎(chǔ)設(shè)施與之前的一些犯罪組織的基礎(chǔ)設(shè)施有一些相似支持，表明它可能是由不同的運營者來創(chuàng)建或管理的。但基礎(chǔ)設(shè)施隨后的攻擊活動表明與多個勒索軟件攻擊者相關(guān)。可能的解釋是DEV-0365可能是一種C2基礎(chǔ)設(shè)施即服務(wù)的一部分。

　　此外，一些保存2021年8月的攻擊活動中使用的 oleObjects 的基礎(chǔ)設(shè)施也參與了傳播BazaLoader和Trickbot payload的攻擊活動，即DEV-0365與另一個黑客組織DEV-0193有一定的重疊和交叉。

　　此外，研究人員在監(jiān)控 DEV-0413攻擊活動的過程中，微軟發(fā)現(xiàn)保存CVE-2021-40444內(nèi)容的DEV-0413基礎(chǔ)設(shè)施并沒有應(yīng)用基本的安全準(zhǔn)則。DEV-0413并沒有限制瀏覽器代理訪問服務(wù)器，因此可以列出web服務(wù)器的目錄。因此，攻擊者會暴露其漏洞利用給所有人。

　　圖 3. 尋求應(yīng)用開發(fā)者的郵件

　　在DEV-0413 8月份的活動中至少有一個被黑客成功入侵的組織之前也被類似的與DEV-0365基礎(chǔ)設(shè)施交互的惡意軟件入侵過。在9月1日的DEV-0413活動中，微軟識別了一個誘餌文件的變化，如下圖所示：

　　圖 4. DEV-0413 使用的誘餌郵件

　　漏洞利用自8月份開始的時間軸如下圖所示：

　　圖 5. 漏洞利用時間