攻击技术研判|CVE-2021-40444漏洞在野利用新手法

逆向病毒分析 3年前 (2021) admin
789 0 0
攻击技术研判|CVE-2021-40444漏洞在野利用新手法

情报背景

继今年9月,微软发布一系列针对CVE-2021-40444 MSHTML远程代码执行的缓解措施,原有依赖CAB文件的利用链被阻断。对在野攻击事件进行研判时,我们发现攻击者使用了新的漏洞利用方式来突破缓解措施和补丁保护。本文将对CVE-2021-40444的在野攻击链及涉及的攻击技术进行技术研判。


01 攻击技术分析

在CVE-2021-40444 漏洞利用的初始版本中,需要利用CAB来存储释放恶意的PE载荷,新的利用链巧妙利用RAR文件特性构造新的利用链。


攻击过程:

1.  用户打开特制的RAR文档,RAR文档释放含有CVE-2021-40444漏洞的DOCX文档

2.  用户打开DOCX文档,Word远程加载包含恶意JavaScript远程页面,成功触发漏洞

3.  在JavaScript中利用Wscript.exe执行隐藏于特制RAR文档中的wsf脚本

4.  在wsf脚本中启动PowerShell,执行后续恶意操作


亮点一:CVE-2021-40444新利用链

原利用链依赖于远程下载CAB文件,配合CAB文件的路径遍历漏洞,将恶意文件释放到可预测目录,加载恶意文件达到代码执行的目的。在九月补丁中,微软已将CAB的路径遍历漏洞一并修复,导致该利用链被阻断。利用依赖的CAB文件也众多安全产品标记,进一步封锁了该利用链的生存空间。


本次在野攻击中出现的新利用链采用了“无CAB”的攻击方式,规避了最初微软对CAB文件的缓解措施。攻击者在Word文档中插入了一个恶意htmlfile OLE对象,当目标用户点击了文档后会自动请求攻击者控制的远程html页面。攻击者在html页面中插入了一个ActiveX控件,该代码会以”wsf://”协议唤起WScript.exe执行嵌入在RAR中的wsf恶意脚本。

攻击技术研判|CVE-2021-40444漏洞在野利用新手法

图:”wsf://”协议绑定WScript.exe


亮点二:利用RAR文件格式特性隐藏恶意脚本内容

攻击者在初始投递的RAR文件头部嵌入了恶意代码。这种恶意代码嵌入方式使得该RAR文件既可以作为有效的压缩文件被解压释放,又可以被wscript.exe程序作为脚本直接执行。

攻击技术研判|CVE-2021-40444漏洞在野利用新手法

图:在RAR文件头嵌入恶意代码


达成这种一箭双雕的攻击手法,攻击者巧妙利用了RAR文件的结构特性。普通的RAR压缩文件以”Rar!”文件头开始,而自解压RAR文件则由文件前端的自解压模块(PE文件)部分和原始RAR文件拼接而成。这种设计导致RAR软件会忽略”Rar!”文件头之前的所有内容,使得攻击者构造的畸形RAR文档仍可被正常打开。


02 总结

攻击者将CVE-2021-40444的利用链进行了升级,不仅避免了文件下载的行为,同时避免初次利用中CAB释放过程对路径遍历漏洞的依赖,缩短利用链的同时,增加了成功率。目前许多的安全产品对于该漏洞现有的检测方式还不够完善,对于新的利用手法未必能有效检测。该利用链的产生也暴露了CVE-2021-40444漏洞可能存在的其他利用方法,值得相关人员警惕。


攻击技术研判|CVE-2021-40444漏洞在野利用新手法

绿盟科技M01N战队专注于Red Team、APT等高级攻击技术、战术及威胁研究,涉及Web安全、终端安全、AD安全、云安全等相关领域。通过研判现网攻击技术发展方向,以攻促防,为风险识别及威胁对抗提供决策支撑,全面提升安全防护能力。


攻击技术研判|CVE-2021-40444漏洞在野利用新手法

M01N Team

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队


原文始发于微信公众号(M01N Team):攻击技术研判|CVE-2021-40444漏洞在野利用新手法

版权声明:admin 发表于 2021年12月27日 上午11:13。
转载请注明:攻击技术研判|CVE-2021-40444漏洞在野利用新手法 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...