微軟發(fā)現(xiàn)利用CVE-2021-40444漏洞的攻擊活動(dòng)。

　　MSHTML是Windows中用來(lái)渲染web頁(yè)面的軟件組件。雖然主要與IE相關(guān)，但也用于其他版本，包括Skype、Outlook、Visual Studio等。研究人員在MSHTML中發(fā)現(xiàn)的0 day漏洞CVE編號(hào)為CVE-2021-40444，CVSS評(píng)分為8.8分。

　　8月微軟研究人員發(fā)現(xiàn)了一小波使用偽造的office文件來(lái)利用該漏洞的攻擊活動(dòng)，該攻擊活動(dòng)是分發(fā)定制的Cobalt Strike Beacon加載器的攻擊活動(dòng)的一部分。這些加載器會(huì)與一個(gè)基礎(chǔ)設(shè)施進(jìn)行通信。

　　漏洞利用機(jī)制

　　8月份的攻擊活動(dòng)貌似來(lái)源于保存在文件共享站點(diǎn)的偽裝成合同和法律協(xié)議的郵件。漏洞利用文件使用外部oleObject 關(guān)系將可利用的JS代碼嵌入到MIME HTML文件，這些遠(yuǎn)程內(nèi)容會(huì)引發(fā)包含DLL的CAB文件下載；解壓CAB文件；DLL內(nèi)的函數(shù)執(zhí)行。DLL會(huì)提取遠(yuǎn)程保存的shellcode（定制的Cobalt Strike Beacon加載器）并將shellcode加載到wabmig.exe中。

　　圖 1. 原始漏洞利用向量

　　內(nèi)容是從標(biāo)記為mark of the web的外部源下載的，表明該內(nèi)容是從可能不信任的源下載的。這會(huì)引發(fā)微軟office中的保護(hù)模式，要求用戶交互來(lái)禁用其中運(yùn)行內(nèi)容。如果打開(kāi)沒(méi)有mark of the web標(biāo)記的文檔，文件的payload會(huì)立刻無(wú)需用戶交互的執(zhí)行，這樣就可以濫用該漏洞。

　　圖 2. 使用CVE-2021-40444漏洞的攻擊鏈

　　利用 CVE-2021-40444漏洞的DEV-0413

　　研究人員將與Cobalt Strike基礎(chǔ)設(shè)施相關(guān)的網(wǎng)絡(luò)犯罪組織命名為DEV-0365。DEV-0365 的基礎(chǔ)設(shè)施與之前的一些犯罪組織的基礎(chǔ)設(shè)施有一些相似支持，表明它可能是由不同的運(yùn)營(yíng)者來(lái)創(chuàng)建或管理的。但基礎(chǔ)設(shè)施隨后的攻擊活動(dòng)表明與多個(gè)勒索軟件攻擊者相關(guān)?？赡艿慕忉屖荄EV-0365可能是一種C2基礎(chǔ)設(shè)施即服務(wù)的一部分。

　　此外，一些保存2021年8月的攻擊活動(dòng)中使用的 oleObjects 的基礎(chǔ)設(shè)施也參與了傳播BazaLoader和Trickbot payload的攻擊活動(dòng)，即DEV-0365與另一個(gè)黑客組織DEV-0193有一定的重疊和交叉。

　　此外，研究人員在監(jiān)控 DEV-0413攻擊活動(dòng)的過(guò)程中，微軟發(fā)現(xiàn)保存CVE-2021-40444內(nèi)容的DEV-0413基礎(chǔ)設(shè)施并沒(méi)有應(yīng)用基本的安全準(zhǔn)則。DEV-0413并沒(méi)有限制瀏覽器代理訪問(wèn)服務(wù)器，因此可以列出web服務(wù)器的目錄。因此，攻擊者會(huì)暴露其漏洞利用給所有人。

　　圖 3. 尋求應(yīng)用開(kāi)發(fā)者的郵件

　　在DEV-0413 8月份的活動(dòng)中至少有一個(gè)被黑客成功入侵的組織之前也被類似的與DEV-0365基礎(chǔ)設(shè)施交互的惡意軟件入侵過(guò)。在9月1日的DEV-0413活動(dòng)中，微軟識(shí)別了一個(gè)誘餌文件的變化，如下圖所示：

　　圖 4. DEV-0413 使用的誘餌郵件

　　漏洞利用自8月份開(kāi)始的時(shí)間軸如下圖所示：

　　圖 5. 漏洞利用時(shí)間