Эксплойты нулевого дня Windows MSHTML опубликованы на форумах хакеров

12
Хакерская группа использовала эксплойты ProxyLogon для взлома отелей по всему миру

Злоумышленники делятся учебными пособиями и эксплойтами Windows MSHTML нулевого дня (CVE-2021-40444) на хакерских форумах, что позволяет другим хакерам начать использовать новую уязвимость в своих собственных атаках.

В прошлый вторник Microsoft раскрыла новую уязвимость нулевого дня в Windows MSHTML, которая позволяет злоумышленникам создавать вредоносные документы, включая документы Office и RTF, для удаленного выполнения команд на компьютере жертвы.

Несмотря на то, что для уязвимости CVE-2021-40444 нет доступных обновлений безопасности , поскольку она была обнаружена в активных атаках EXPMON и Mandiant, Microsoft решила раскрыть уязвимость и предоставить меры по предотвращению ее эксплуатации.

Эти меры защиты работают путем блокировки элементов управления ActiveX и предварительного просмотра документов Word / RTF в проводнике Windows.

Однако исследователи смогли изменить эксплойт, чтобы не использовать ActiveX, эффективно обходя меры защиты Microsoft .

Руководства и PoC опубликованы на хакерских форумах

Когда Microsoft впервые раскрыла Windows MSHTML нулевого дня, отслеживаемую как CVE-2021-40444, исследователи безопасности быстро обнаружили вредоносные документы, используемые в атаках.

Вскоре они воспроизвели эксплойты, модифицировали их для расширения возможностей и обнаружили новый вектор предварительного просмотра документа , но исследователи не раскрыли подробностей из опасения, что другие злоумышленники воспользуются им.

К сожалению, злоумышленники смогли воспроизвести эксплойт самостоятельно на основе информации и образцов вредоносных документов, размещенных в Интернете, и начали делиться подробными руководствами и информацией на форумах по взлому.

С четверга злоумышленники начали делиться общедоступной информацией о HTML-компоненте эксплойта и о том, как создать вредоносный документ. В пятницу были опубликованы дополнительные инструкции по созданию полезной нагрузки и CAB-файла, который включал компонент уязвимости обхода пути.

В субботу, когда исследователи начали публиковать более подробную информацию на Github и Twitter, злоумышленники поделились дополнительной информацией о том, как создать все аспекты эксплойта.

Информация проста для понимания и позволяет любому создать свою собственную рабочую версию эксплойта CVE-2021-40444, включая сервер Python для распространения вредоносных документов и файлов CAB.

Защита от уязвимости CVE-2021-40444 MSHTML

Хорошая новость заключается в том, что с момента обнаружения уязвимости Microsoft Defender и другие программы безопасности могут обнаруживать и блокировать вредоносные документы и CAB-файлы, используемые в этой атаке.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь