Последнее обновление 02.01.2023 — QGames
Появились новые подробности о недавней уязвимости нулевого дня в Windows CVE-2021-40444, о том, как она используется в атаках, и о конечной цели злоумышленника — захватить корпоративные сети.
Эта уязвимость Internet Explorer, связанная с удаленным выполнением кода MSHTML, отслеживаемая как CVE-2021-40444, была раскрыта Microsoft во вторник, но с некоторыми подробностями, поскольку она еще не исправлена.
Единственная информация, которой поделились Microsoft, заключалась в том, что уязвимость использует вредоносные элементы управления ActiveX для использования Office 365 и Office 2019 в Windows 10 для загрузки и установки вредоносного ПО на зараженный компьютер.
С тех пор исследователи обнаружили вредоносные документы Word, использованные в атаках, и получили новую информацию о том, как используется уязвимость.
Почему нулевой день CVE-2021-40444 так важен
С момента появления этой уязвимости исследователи безопасности обратились в Twitter, чтобы предупредить, насколько она опасна, даже несмотря на то, что функция Microsoft Office «Защищенный просмотр» блокирует эксплойт.
Когда Office открывает документ, он проверяет, помечен ли он «Меткой Интернета » (MoTW), что означает, что он создан из Интернета.
Если этот тег существует, Microsoft откроет документ в режиме только для чтения, эффективно блокируя эксплойт, пока пользователь не нажмет кнопку «Разрешить редактирование».
Поскольку функция «Защищенный просмотр» смягчает уязвимость, мы обратились к Уиллу Дорманну , аналитику уязвимостей CERT / CC, чтобы узнать, почему исследователи безопасности так обеспокоены этой уязвимостью.
Дорманн сказал BleepingComputer, что даже если пользователь изначально защищен с помощью функции «Защищенный просмотр» Office, история показала, что многие пользователи игнорируют это предупреждение и все равно нажимают кнопку «Разрешить редактирование».
Дорманн также предупреждает, что существует множество способов, чтобы документ не получил флаг MoTW, что фактически сводит на нет эту защиту.
«Если документ находится в контейнере, который обрабатывается чем-то, что не известно MotW, то факт, что контейнер был загружен из Интернета, будет спорным. Например, если 7Zip открывает архив, полученный из Интернета, извлеченное содержимое не будет иметь никаких указаний на то, что оно пришло из Интернета. Так что ни MotW, ни защищенного просмотра «.
«Точно так же, если документ находится в контейнере, таком как файл ISO, пользователь Windows может просто дважды щелкнуть ISO, чтобы открыть его. Но Windows не считает, что содержимое получено из Интернета. Итак, опять же, нет MotW , без режима защищенного просмотра «.
«Эта атака более опасна, чем макросы, потому что любая организация, которая решила отключить или иным образом ограничить выполнение макроса, по-прежнему будет открыта для выполнения произвольного кода просто в результате открытия документа Office». — Уилл Дорманн
Что еще хуже, Дорманн обнаружил, что вы можете использовать эту уязвимость в файлах RTF, которые не получают преимуществ от функции безопасности Office Protected View.
Microsoft также поделилась средствами защиты для предотвращения запуска элементов управления ActiveX в Internet Explorer, эффективно блокируя текущие атаки.
Однако исследователь безопасности Кевин Бомонт уже обнаружил способ обойти текущие меры защиты Microsoft для использования этой уязвимости.
Благодаря этим обходным путям и дополнительным вариантам использования CVE-2021-40444 стал еще более серьезным, чем предполагалось изначально.
