新钓鱼活动分析,利用新漏洞绕过微软MSHTML漏洞的补丁

新的exproit让恶意软件攻击者绕过修补程序以获取关键的Microsoft MSHTML漏洞

最近的网络安全研究观察到一个短期的网络钓鱼活动,利用一种新颖的漏洞利用绕过微软MSHTML组件远程代码执行漏洞的补丁,进行分发Formbook恶意软件。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,MSHTML远程代码执行漏洞 CVE-2021-40444(CVSS 评分:8.8),可使用特制的 Microsoft Office 文档利用该漏洞。尽管微软早已在更新中解决了安全漏洞,但自从与该漏洞有关的细节公开以来,它已被用于多次攻击。

新的exproit让恶意软件攻击者绕过修补程序以获取关键的Microsoft MSHTML漏洞

安全研究人员称,在 CVE-2021-40444 漏洞的初始版本中,该恶意 Office 文档检索了打包到 Microsoft 文件柜文件中的恶意软件负载。当微软的补丁修复了这个漏洞时,攻击者发现他们可以通过将恶意文档封装在一个特制的 RAR 压缩文件中可以绕过并利用该漏洞实现不同的供给链。

CAB-less 40444,即修改后的漏洞利用程序,在 10 月 24 日至 25 日之间持续了 36 小时,在此期间,包含格式错误的 RAR 存档文件的垃圾邮件被发送给潜在受害者。反过来,RAR 文件包含一个用 Windows 脚本宿主 ( WSH )编写的脚本和一个 Word 文档,该文档在打开时会联系托管恶意 JavaScript 的远程服务器。

因此,JavaScript 代码利用 Word 文档作为渠道来启动 WSH 脚本并在 RAR 文件中执行嵌入的 PowerShell 命令,以从攻击者控制的网站检索Formbook恶意软件负载。

至于为什么这个漏洞在使用了一天多一点的时候就消失了,线索在于修改后的 RAR 压缩文件不能与旧版本的 WinRAR 程序一起使用。因此,出乎意料的是,使用较旧版本的 WinRAR 的用户将比使用最新版本的用户得到更好的保护。

 

新钓鱼活动分析,利用新漏洞绕过微软MSHTML漏洞的补丁

极牛网精选文章《新钓鱼活动分析,利用新漏洞绕过微软MSHTML漏洞的补丁》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/17554.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2021年12月22日 上午11:06
下一篇 2021年12月23日 上午11:27

相关推荐

发表评论

登录后才能评论