Последнее обновление 05.01.2023 — QGames
Злоумышленники делятся учебными пособиями и эксплойтами Windows MSHTML нулевого дня (CVE-2021-40444) на хакерских форумах, что позволяет другим хакерам начать использовать новую уязвимость в своих собственных атаках.
В прошлый вторник Microsoft раскрыла новую уязвимость нулевого дня в Windows MSHTML, которая позволяет злоумышленникам создавать вредоносные документы, включая документы Office и RTF, для удаленного выполнения команд на компьютере жертвы.
Несмотря на то, что для уязвимости CVE-2021-40444 нет доступных обновлений безопасности , поскольку она была обнаружена в активных атаках EXPMON и Mandiant, Microsoft решила раскрыть уязвимость и предоставить меры по предотвращению ее эксплуатации.
Эти меры защиты работают путем блокировки элементов управления ActiveX и предварительного просмотра документов Word / RTF в проводнике Windows.
Однако исследователи смогли изменить эксплойт, чтобы не использовать ActiveX, эффективно обходя меры защиты Microsoft .
Руководства и PoC опубликованы на хакерских форумах
Когда Microsoft впервые раскрыла Windows MSHTML нулевого дня, отслеживаемую как CVE-2021-40444, исследователи безопасности быстро обнаружили вредоносные документы, используемые в атаках.
Вскоре они воспроизвели эксплойты, модифицировали их для расширения возможностей и обнаружили новый вектор предварительного просмотра документа , но исследователи не раскрыли подробностей из опасения, что другие злоумышленники воспользуются им.
К сожалению, злоумышленники смогли воспроизвести эксплойт самостоятельно на основе информации и образцов вредоносных документов, размещенных в Интернете, и начали делиться подробными руководствами и информацией на форумах по взлому.
С четверга злоумышленники начали делиться общедоступной информацией о HTML-компоненте эксплойта и о том, как создать вредоносный документ. В пятницу были опубликованы дополнительные инструкции по созданию полезной нагрузки и CAB-файла, который включал компонент уязвимости обхода пути.
В субботу, когда исследователи начали публиковать более подробную информацию на Github и Twitter, злоумышленники поделились дополнительной информацией о том, как создать все аспекты эксплойта.
Информация проста для понимания и позволяет любому создать свою собственную рабочую версию эксплойта CVE-2021-40444, включая сервер Python для распространения вредоносных документов и файлов CAB.
Защита от уязвимости CVE-2021-40444 MSHTML
Хорошая новость заключается в том, что с момента обнаружения уязвимости Microsoft Defender и другие программы безопасности могут обнаруживать и блокировать вредоносные документы и CAB-файлы, используемые в этой атаке.