Исследователи предупреждают, что злоумышленники уже делятся на хакерских форумах туториалами и эксплоитами для уязвимости CVE-2021-40444, что позволяет большему числу хакеров использовать новую уязвимость в своих атаках.
Напомню, что на прошлой неделе компания Microsoft выпустила предупреждение о новой уязвимости нулевого дня в Microsoft MHTML (он же Trident), проприетарном движке браузера Internet Explorer. Сообщалось, что проблема уже используется в реальных атаках на пользователей Office 365 и Office 2019 в Windows 10, но патча для нее пока нет.
Уязвимость затрагивает Windows Server 2008-2019 и Windows 8.1-10 (8,8 баллов из 10 по шкале CVSS). Хотя MHTML в основном использовался для браузера Internet Explorer, этот компонент также применяется в приложениях Office для рендеринга размещенного в интернете контента внутри документов Word, Excel и PowerPoint.
Как объясняли представители Microsoft, при помощи этого бага злоумышленник может создать вредоносный компонент ActiveX, который будет использоваться документом Microsoft Office и обрабатываться MHTML. По сути, злоумышленнику придется лишь убедить пользователя открыть такой вредоносный файл, после чего атаку можно считать удавшейся.
Вскоре после этого сообщения от IT-гиганта исследователи предупредили, что проблема может оказаться более опасной, так как от ее эксплуатации не всегда могут защитить Protected View или Application Guard. Кроме того, эксперты обнаружили, что использовать уязвимость можно и при помощи файлов RTF, на которые защита Office Protected View вообще не распространяется. А также заметили, что баг можно эксплуатировать через превью документов.
Хотя специалисты не раскрывали подробностей использованных методик, опасаясь, что ими воспользуются злоумышленники, хакеры все равно смогли воспроизвести эксплоиты самостоятельно (основываясь на информации и доступных в сети образцах вредоносных документов). Теперь преступники активно делятся друг с другом подробными туториалами и информацией на хакерских форумах, говорят журналисты Bleeping Computer. Так, уже были опубликованы дополнительные инструкции по созданию пейлоадов и специального CAB-файла.
Распространяемая злоумышленниками информация проста и позволяет любому желающему создать свою версию эксплоита для CVE-2021-40444, в том числе Python-сервер для распространения вредоносных документов и файлов CAB. К примеру, используя эту информацию, журналисты смогли воссоздать эксплоит примерно за 15 минут, как показано в ролике ниже.
Издание отмечает, что в настоящее время Microsoft Defender и другие защитные программы уже могут обнаруживать и блокировать вредоносные документы и CAB-файлы, используемые в атаках. Представители Microsoft, в свою очередь, советовали отключить элементы управления ActiveX в Internet Explorer, а ИБ-специалисты теперь говорят о необходимости отключения предварительного просмотра документов в Проводнике.
CVE-2021-40444 is so bad?♂️ pic.twitter.com/3Gu9ahwmHd
— jq0904 (@jq0904) September 10, 2021