新漏洞讓惡意軟件攻擊者繞過關鍵 Microsoft MSHTML 漏洞的補丁

已經觀察到一個短期網絡釣魚活動利用一種新穎的漏洞利用繞過 Microsoft 放置的補丁來修復影響 MSHTML 組件的遠程代碼執行漏洞，目的是提供 Formbook 惡意軟件。

“這些附件代表攻擊者濫用 CVE-2021-40444 漏洞的升級，并表明即使補丁也不能總是減輕有動機且足夠熟練的攻擊者的行為，”SophosLabs 研究人員 Andrew Brandt 和 Stephen Ormandy在一份報告中說。周二發布的新報告。

CVE-2021-40444（CVSS 評分：8.8）與 MSHTML 中的遠程代碼執行漏洞有關，可使用特制的 Microsoft Office 文檔利用該漏洞。盡管微軟在 2021 年 9 月補丁星期二更新中解決了安全漏洞，但自從與該漏洞有關的細節公開以來，它已被用于多次攻擊。

同月，這家科技巨頭發現了一項有針對性的網絡釣魚活動，該活動利用該漏洞在受感染的 Windows 系統上部署 Cobalt Strike Beacons。然后在 11 月，SafeBreach Labs報告了伊朗威脅行為者行動的詳細信息，該行動使用旨在收集敏感信息的新的基于 PowerShell 的信息竊取程序針對講波斯語的受害者。

Sophos 發現的新活動旨在通過改變公開可用的概念驗證 Office 漏洞并將其武器化以分發 Formbook 惡意軟件來繞過補丁的保護。這家網絡安全公司表示，這次攻擊的成功部分歸功于“過于專注的補丁”。

研究人員解釋說：“在 CVE-2021-40444 漏洞的初始版本中，[該] 惡意 Office 文檔檢索了打包到 Microsoft 文件柜（或 .CAB）文件中的惡意軟件負載。” “當微軟的補丁關閉了這個漏洞時，攻擊者發現他們可以通過將惡意文檔封裝在一個特制的 RAR 檔案中來完全使用不同的攻擊鏈。”

CAB-less 40444，即修改后的漏洞利用程序，在 10 月 24 日至 25 日之間持續了 36 小時，在此期間，包含格式錯誤的 RAR 存檔文件的垃圾郵件被發送給潛在受害者。反過來，RAR 文件包含一個用 Windows 腳本宿主 ( WSH )編寫的腳本和一個 Word 文檔，該文檔在打開時會聯系托管惡意 JavaScript 的遠程服務器。

因此，JavaScript 代碼利用 Word 文檔作為渠道來啟動 WSH 腳本并在 RAR 文件中執行嵌入的 PowerShell 命令，以從攻擊者控制的網站檢索Formbook惡意軟件負載。

至于為什么這個漏洞在使用了一天多一點的時候就消失了，線索在于修改后的 RAR 存檔文件不能與舊版本的 WinRAR 實用程序一起使用。研究人員說：“因此，出乎意料的是，在這種情況下，使用較舊、過時版本的 WinRAR 的用戶將比使用最新版本的用戶得到更好的保護。”

SophosLabs 首席研究員 Andrew Brandt 說：“這項研究提醒人們，僅靠修補無法在所有情況下防范所有漏洞。” “設置限制以防止用戶意外觸發惡意文檔會有所幫助，但人們仍然可能被引誘點擊‘啟用內容’按鈕。”

“因此，教育員工并提醒他們對電子郵件文件保持懷疑至關重要，尤其是當他們以不認識的人或公司的不尋常或不熟悉的壓縮文件格式到達時，”布蘭特補充道。