WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Lỗ hổng Microsoft MSHTML bị lợi dụng khai thác
Các nhà nghiên cứu của Microsoft và RiskIQ vừa chỉ ra vài chiến dịch sử dụng lỗi zero-day đã được vá, đồng thời nhắc lại việc cần cập nhật bản vá cho hệ thống bị ảnh hưởng.
Nghiên cứu hợp tác của Microsoft và RiskIQ đã tiết lộ các chiến dịch khai thác lỗ hổng CVE-2021-40444. Đây là lỗ hổng thực thi mã từ xa (RCE) trong Windows cho phép kẻ tấn công tạo các tài liệu Microsoft Office độc. Hai báo cáo riêng biệt được phát hành trực tuyến trong tuần nhằm xác định đối tượng sử dụng lỗi để ẩn quá trình điều khiển ActiveX độc trong Office, cũng như mối liên hệ với các nhóm tội phạm đứng sau.
RiskIQ xác định ransomware có khả năng thuộc về tổ chức tội phạm Wizard Spider từ Nga, từng biết đến với việc duy trì và phân phối ransomware Ryuk.
Microsoft đã dừng việc xác định cụ thể đối tượng tấn công, thay vào đó gọi chung là “nhóm phát triển” bằng cách sử dụng tiền tố “DEV” và một số để chỉ đối tượng tấn công.
Trong phân tích của mình, hãng trích dẫn hoạt động từ ba nhóm DEV kể từ tháng 8 đã được thấy trong các cuộc tấn công sử dụng CVE-2021-40444: DEV-0365, DEV-0193 và DEV-0413.
Cơ sở hạ tầng liên kết với DEV-0365 đã được sử dụng trong các chiến dịch Cobalt Strike, cho thấy nhiều nhóm hoặc nhóm đối tượng liên quan đến các cuộc tấn công ransomware do con người điều hành (bao gồm cả việc triển khai Conti ransomware).
Ngoài ra, một số cơ sở hạ tầng lưu trữ các oleObject được sử dụng trong các cuộc tấn công tháng 8 năm 2021 lợi dụng CVE-2021-40444 cũng liên quan đến việc phân phối BazaLoader và Trickbot - hoạt động trùng lặp với một nhóm mà Microsoft theo dõi là DEV-0193.
Microsoft quy kết một chiến dịch khác sử dụng lỗ hổng bởi nhóm được xác định là DEV-0413. Chiến dịch này "nhỏ hơn và được nhắm mục tiêu nhiều hơn so với các chiến dịch khác mà được xác định là lợi dụng cơ sở hạ tầng DEV-0365.
Chiến dịch đã sử dụng “social-engineering” phù hợp với hoạt động kinh doanh của các tổ chức mục tiêu.
Microsoft lần đầu tiên tiết lộ lỗ hổng MSHTML zero-day vào ngày 7 tháng 9, cùng Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) để cảnh báo các tổ chức về lỗi và khuyến cáo biện pháp giảm thiểu sự ảnh hưởng của lỗi này.
Theo Microsoft, lỗ hổng này cho phép kẻ tấn công tạo ra một điều khiển ActiveX độc hại có thể được sử dụng trong tài liệu Microsoft Office lưu trữ công cụ kết xuất trình duyệt.
Một trong những chiến dịch mà các nhà nghiên cứu của Microsoft đã quan sát bao gồm các email mạo danh các hợp đồng và thỏa thuận pháp lý để cố gắng lừa nạn nhân mở tài liệu.
Các tổ chức nên áp dụng bản vá an ninh cho CVE-2021-40444 để tránh bị ảnh hưởng bởi lỗ hổng này
Nghiên cứu hợp tác của Microsoft và RiskIQ đã tiết lộ các chiến dịch khai thác lỗ hổng CVE-2021-40444. Đây là lỗ hổng thực thi mã từ xa (RCE) trong Windows cho phép kẻ tấn công tạo các tài liệu Microsoft Office độc. Hai báo cáo riêng biệt được phát hành trực tuyến trong tuần nhằm xác định đối tượng sử dụng lỗi để ẩn quá trình điều khiển ActiveX độc trong Office, cũng như mối liên hệ với các nhóm tội phạm đứng sau.
Cụ thể, hầu hết các cuộc tấn công mà các nhà nghiên cứu đã phân tích đều sử dụng MSHTML như phần đầu của chiến dịch nhằm phân phối các bộ tải Cobalt Strike Beacon tùy chỉnh, giao tiếp với cơ sở hạ tầng có liên quan đến nhiều chiến dịch tội phạm mạng, bao gồm cả ransomware do con người vận hành.RiskIQ xác định ransomware có khả năng thuộc về tổ chức tội phạm Wizard Spider từ Nga, từng biết đến với việc duy trì và phân phối ransomware Ryuk.
Microsoft đã dừng việc xác định cụ thể đối tượng tấn công, thay vào đó gọi chung là “nhóm phát triển” bằng cách sử dụng tiền tố “DEV” và một số để chỉ đối tượng tấn công.
Trong phân tích của mình, hãng trích dẫn hoạt động từ ba nhóm DEV kể từ tháng 8 đã được thấy trong các cuộc tấn công sử dụng CVE-2021-40444: DEV-0365, DEV-0193 và DEV-0413.
Cơ sở hạ tầng liên kết với DEV-0365 đã được sử dụng trong các chiến dịch Cobalt Strike, cho thấy nhiều nhóm hoặc nhóm đối tượng liên quan đến các cuộc tấn công ransomware do con người điều hành (bao gồm cả việc triển khai Conti ransomware).
Ngoài ra, một số cơ sở hạ tầng lưu trữ các oleObject được sử dụng trong các cuộc tấn công tháng 8 năm 2021 lợi dụng CVE-2021-40444 cũng liên quan đến việc phân phối BazaLoader và Trickbot - hoạt động trùng lặp với một nhóm mà Microsoft theo dõi là DEV-0193.
Microsoft quy kết một chiến dịch khác sử dụng lỗ hổng bởi nhóm được xác định là DEV-0413. Chiến dịch này "nhỏ hơn và được nhắm mục tiêu nhiều hơn so với các chiến dịch khác mà được xác định là lợi dụng cơ sở hạ tầng DEV-0365.
Chiến dịch đã sử dụng “social-engineering” phù hợp với hoạt động kinh doanh của các tổ chức mục tiêu.
Microsoft lần đầu tiên tiết lộ lỗ hổng MSHTML zero-day vào ngày 7 tháng 9, cùng Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) để cảnh báo các tổ chức về lỗi và khuyến cáo biện pháp giảm thiểu sự ảnh hưởng của lỗi này.
Theo Microsoft, lỗ hổng này cho phép kẻ tấn công tạo ra một điều khiển ActiveX độc hại có thể được sử dụng trong tài liệu Microsoft Office lưu trữ công cụ kết xuất trình duyệt.
Một trong những chiến dịch mà các nhà nghiên cứu của Microsoft đã quan sát bao gồm các email mạo danh các hợp đồng và thỏa thuận pháp lý để cố gắng lừa nạn nhân mở tài liệu.
Các tổ chức nên áp dụng bản vá an ninh cho CVE-2021-40444 để tránh bị ảnh hưởng bởi lỗ hổng này
Theo: Theatpost
Chỉnh sửa lần cuối bởi người điều hành: