DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Kỹ thuật khai thác mới cho phép tin tặc vượt qua bản vá lỗi CVE-2021-40444 của Microsoft
Xuất hiện một chiến dịch lừa đảo với mục tiêu phân phối phần mềm độc hại Formbook, đang lợi dụng một cách khai thác mới đã vượt qua bản vá do Microsoft đưa ra để sửa lỗ hổng thực thi mã từ xa ảnh hưởng đến thành phần MSHTML.
Các nhà nghiên cứu của SophosLabs, Andrew Brandt và Stephen Ormandy, cho biết: "Các tệp đính kèm độc hại cho thấy tin tặc lạm dụng lỗi CVE-2021-40444 để tiến hành hoạt động khai thác. Việc triển khai đầy đủ các bản vá không phải là cách an toàn nhất đối với các tin tặc có trình độ cao."
CVE-2021-40444 (điểm CVSS: 8,8) là một lỗ hổng thực thi mã từ xa trong MSHTML có thể bị khai thác bằng cách sử dụng các tài liệu Microsoft Office được chế tạo đặc biệt. Mặc dù Microsoft đã vá lỗ hổng trong bản vá Patch Tuesday vào tháng 9 năm 2021, nhưng có nhiều bằng chứng cho thấy, lỗi đã bị hacker khai thác trong thực tế, sau khi chi tiết lỗ hổng được tiết lộ công khai.
Ngay sau đó, Microsoft đã phát hiện ra một chiến dịch lừa đảo đã khai thác lỗ hổng để triển khai Cobalt Strike Beacons trên các hệ thống Windows bị xâm phạm. Sau đó vào tháng 11, SafeBreach Labs đưa ra báo cáo chi tiết về một hoạt động của các tin tặc người Iran nhằm vào các nạn nhân nói tiếng Farsi bằng một trình đánh cắp thông tin dựa trên PowerShell mới được thiết kế để thu thập thông tin nhạy cảm.
Chiến dịch mới do Sophos phát hiện cho thấy tin tặc đang sử dụng các kỹ thuật khác nhau nhằm vượt qua bản vá lỗi nhằm triển khai phần mềm độc hại Formbook. Vấn đề này có thể bắt nguồn từ bản vá không triệt để của Microsoft.
Các nhà nghiên cứu cho biết: "Trong các phiên bản khai thác đầu tiên của CVE-2021-40444, tài liệu Office độc hại đã truy xuất tải trọng phần mềm độc hại được đóng gói thành tệp Microsoft Cabinet (hoặc .CAB). Do bản vá của Microsoft sửa lỗi không đầy đủ, tin tặc có thể sử dụng một chuỗi tấn công hoàn toàn mới bằng cách đóng gói maldoc trong một tệp RAR được chế tạo đặc biệt."
Các nhà nghiên cứu đặt tên cho cách khai thác mới này là CAB-less 40444. Chiến dịch lợi dụng cách khai thác này chỉ diễn ra trong 36 giờ ngày 24 đến ngày 25 tháng 10, trong đó các email spam chứa tệp lưu trữ RAR độc hại được gửi đến các nạn nhân được nhắm mục tiêu. Tệp RAR này bao gồm một tập lệnh được viết trong Windows Script Host (WSH) và một tài liệu Word mà khi mở ra, các lệnh được thực thi để liên hệ với một máy chủ từ xa lưu trữ JavaScript độc hại.
Sau đó, mã JavaScript đã sử dụng tài liệu Word làm đường dẫn để khởi chạy tập lệnh WSH và thực thi lệnh PowerShell được nhúng trong tệp RAR để tải phần mềm độc hại Formbook từ trang web do tin tặc kiểm soát.
Về việc tại sao chiến dịch chỉ diễn ra trong vòng 36 giờ, các nhà nghiên cứu cho biết: do cách thức khai thác mới này không hoạt động trên các phiên bản cũ của WinRAR, "thật bất ngờ, trong trường hợp này, người dùng phiên bản WinRAR cũ và lỗi thời sẽ được bảo vệ tốt hơn so với người dùng phiên bản mới nhất."
Nhà nghiên cứu chính của SophosLabs, Andrew Brandt nhấn mạnh: "Nghiên cứu này một lần nữa nhắc nhở việc triển khai đầy đủ các bản vá lỗi an ninh không thể hoàn toàn bảo vệ người dùng. Tin tặc cũng có thể sử dụng điểm yếu con người để khai thác một hệ thống, do đó, điều tối quan trọng là phải giáo dục nhân viên và nhắc nhở họ nghi ngờ về các tài liệu được gửi qua email, đặc biệt là khi nhận được các định dạng tệp nén bất thường từ những người hoặc công ty mà họ không biết."
Các nhà nghiên cứu của SophosLabs, Andrew Brandt và Stephen Ormandy, cho biết: "Các tệp đính kèm độc hại cho thấy tin tặc lạm dụng lỗi CVE-2021-40444 để tiến hành hoạt động khai thác. Việc triển khai đầy đủ các bản vá không phải là cách an toàn nhất đối với các tin tặc có trình độ cao."
CVE-2021-40444 (điểm CVSS: 8,8) là một lỗ hổng thực thi mã từ xa trong MSHTML có thể bị khai thác bằng cách sử dụng các tài liệu Microsoft Office được chế tạo đặc biệt. Mặc dù Microsoft đã vá lỗ hổng trong bản vá Patch Tuesday vào tháng 9 năm 2021, nhưng có nhiều bằng chứng cho thấy, lỗi đã bị hacker khai thác trong thực tế, sau khi chi tiết lỗ hổng được tiết lộ công khai.
Ngay sau đó, Microsoft đã phát hiện ra một chiến dịch lừa đảo đã khai thác lỗ hổng để triển khai Cobalt Strike Beacons trên các hệ thống Windows bị xâm phạm. Sau đó vào tháng 11, SafeBreach Labs đưa ra báo cáo chi tiết về một hoạt động của các tin tặc người Iran nhằm vào các nạn nhân nói tiếng Farsi bằng một trình đánh cắp thông tin dựa trên PowerShell mới được thiết kế để thu thập thông tin nhạy cảm.
Chiến dịch mới do Sophos phát hiện cho thấy tin tặc đang sử dụng các kỹ thuật khác nhau nhằm vượt qua bản vá lỗi nhằm triển khai phần mềm độc hại Formbook. Vấn đề này có thể bắt nguồn từ bản vá không triệt để của Microsoft.
Các nhà nghiên cứu cho biết: "Trong các phiên bản khai thác đầu tiên của CVE-2021-40444, tài liệu Office độc hại đã truy xuất tải trọng phần mềm độc hại được đóng gói thành tệp Microsoft Cabinet (hoặc .CAB). Do bản vá của Microsoft sửa lỗi không đầy đủ, tin tặc có thể sử dụng một chuỗi tấn công hoàn toàn mới bằng cách đóng gói maldoc trong một tệp RAR được chế tạo đặc biệt."
Các nhà nghiên cứu đặt tên cho cách khai thác mới này là CAB-less 40444. Chiến dịch lợi dụng cách khai thác này chỉ diễn ra trong 36 giờ ngày 24 đến ngày 25 tháng 10, trong đó các email spam chứa tệp lưu trữ RAR độc hại được gửi đến các nạn nhân được nhắm mục tiêu. Tệp RAR này bao gồm một tập lệnh được viết trong Windows Script Host (WSH) và một tài liệu Word mà khi mở ra, các lệnh được thực thi để liên hệ với một máy chủ từ xa lưu trữ JavaScript độc hại.
Sau đó, mã JavaScript đã sử dụng tài liệu Word làm đường dẫn để khởi chạy tập lệnh WSH và thực thi lệnh PowerShell được nhúng trong tệp RAR để tải phần mềm độc hại Formbook từ trang web do tin tặc kiểm soát.
Về việc tại sao chiến dịch chỉ diễn ra trong vòng 36 giờ, các nhà nghiên cứu cho biết: do cách thức khai thác mới này không hoạt động trên các phiên bản cũ của WinRAR, "thật bất ngờ, trong trường hợp này, người dùng phiên bản WinRAR cũ và lỗi thời sẽ được bảo vệ tốt hơn so với người dùng phiên bản mới nhất."
Nhà nghiên cứu chính của SophosLabs, Andrew Brandt nhấn mạnh: "Nghiên cứu này một lần nữa nhắc nhở việc triển khai đầy đủ các bản vá lỗi an ninh không thể hoàn toàn bảo vệ người dùng. Tin tặc cũng có thể sử dụng điểm yếu con người để khai thác một hệ thống, do đó, điều tối quan trọng là phải giáo dục nhân viên và nhắc nhở họ nghi ngờ về các tài liệu được gửi qua email, đặc biệt là khi nhận được các định dạng tệp nén bất thường từ những người hoặc công ty mà họ không biết."
Theo: thehackernews