9月7日,微软发布安全公告称发现Windows IE MSHTML中的一个远程代码执行漏洞,CVE编号为CVE-2021-40444。由于未发布漏洞补丁,微软只称该漏洞可以利用恶意ActiveX控制来利用office 365和office 2019来在受影响的Windows 10主机上下载和安装恶意软件。

随后,研究人员发现有攻击活动使用该恶意word文档,即该漏洞的0 day在野利用。

当office打开一个文档后,会检查是否标记为"Mark of the Web" (MoTW),这表示它来源于互联网。如果该标签存在,微软就会以只读模式打开该文档,除非用户点击启用编辑按钮。

保护视图打开的word文件

漏洞分析人员Will Dormann称保护视图特征可以缓解该漏洞利用,但Dormann称虽然保护视图特征可以预防该漏洞,但历史数据表明许多用户都会忽视该警告,并点击启用编辑按钮。

但也有很多的方式可以让一个文件不接受MoTW标签。如果文件在容器中,可能就不会意识到MotW的存在,比如7zip打开下载的压缩文件后,提取的文件就不会有来自互联网的标记。同样地,如果文件在ISO文件中,Windows用户可以双击ISO来打开它。但是Windows不会把其中的内容看做是来自互联网。

此外,Dormann还发现可以在RTF文件中利用该漏洞,RTF文件中没有office保护视图安全特征。

微软此前发布了环节措施来预防ActiveX来IE中运行,以拦截可能的攻击活动。但安全研究人员Kevin Beaumont已发现了绕过微软缓解措施的方法。

攻击活动中使用的恶意word文件名为’A Letter before court 4.docx’(https://www.virustotal.com/gui/file/d0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6)。

因为该文件是从互联网下载的,会被标记为Mark of the web,会在word保护视图打开。

利用CVE-2021-40444漏洞的恶意word

一旦用户点击启用编辑按钮,漏洞利用就会使用mhtml协议打开一个位于远程站点的side.html文件,该文件会被加载为word模板。

‘mhtml’ URL注册到IE后,浏览器就会开始加载HTML,其混淆的JS代码会通过创建恶意ActiveX控制来利用CVE-2021-40444漏洞。

side.html文件中混淆的JS代码

ActiveX控制会从远程站点下载ministry.cab 文件,提取championship.inf文件(事实上是DLL文件),并以CPL文件执行。

以CPL文件执行championship.inf 文件

TrendMicro称最终的payload会安装Cobalt Strike,该恶意软件允许攻击者获取设备的远程访问权限。

一旦攻击者获取受害者计算机的远程访问权限,就可以用来在网络中传播恶意软件、安装其他恶意软件、窃取文件、部署勒索软件。

由于该漏洞的严重性,研究人员建议用户只打开来自可信源的附件。

【网络安全学习资料】

CVE-2021-40444 0 day漏洞利用相关推荐

  1. 记一次weblogic-10.3.6.0靶场漏洞利用

    进入Vuln-Range的weblogic-10.3.6.0靶场 靶场地址后面加上 /console 进入后台页面 使用weblogic漏洞利用工具进行扫描 删掉端口后面多余字符,输入/uddiexp ...

  2. thinkphp5.0.22漏洞利用

    一.搭建环境 phpstudy的版本大于5.0 解压源码到www下 浏览器访问 127.0.0.1/thinkphp/public/index.php 漏洞利用 ?s=.|think\config/g ...

  3. Chrome 0 day漏洞利用链

    远程代码执行漏洞利用 所有的攻击活动都是通过Chrome浏览器执行的.虽然研究人员无法获取漏洞利用的JS代码,但是研究人员根据相关攻击活动的时间轴推测出了利用的漏洞--CVE-2021-21224.此 ...

  4. 渗透测试实战-OTRS 5.0.x/6.0.x漏洞利用

    nmap -T4 -A -sS -sV -vv --script vuln -p- --open -n -Pn 10.11.1.39 -oX 10.11.1.39.xml xsltproc -o 10 ...

  5. thinkphp3.2.3漏洞_Chrome新版本修复CVE202015999 0 day漏洞

    10月20日,谷歌发布新版本的Chrome 86.0.4240.111,新版本中共修复了5个安全漏洞,其中一个是0 day 漏洞CVE-2020-15999.Windows.mac和Linux桌面版用 ...

  6. 揭秘“0 day漏洞”:一款强大却脆弱的武器

    所谓"0 day漏洞"就是尚未被供应商修复的安全漏洞,且这些漏洞可被恶意行为者滥用并转化为一款威力强大但却脆弱的攻击武器.近年来,越来越多的证据显示,各国政府正在购买和使用0 da ...

  7. CVE-2022-0185 价值$3w的 File System Context 内核整数溢出漏洞利用分析

    文章目录 1. 漏洞发现 2. 漏洞分析 3. 漏洞利用方法1-任意写篡改 `modprobe_path` 3-1 泄露内核基址 3-2 任意地址写思路 3-3 FUSE 页错误处理 3-4 完整利用 ...

  8. Weblogic漏洞利用总结

    所有文章,仅供安全研究与学习之用,后果自负! weblogic 一.weblogic 反序列化(CVE-2020-2883) 0x01 漏洞描述 0x02 影响范围 0x03 漏洞利用 0x04 漏洞 ...

  9. (23)【漏洞利用】【原理、利用过程】中间件解析漏洞、CMS漏洞、编辑器漏洞、CVE漏洞

    目录 解析漏洞: 原理: 变化因素: 熟知的中间件(解析漏洞) 0x01    IIS5.x-6.x解析漏洞: (1)目录解析漏洞(IIS6.0) 原理: 利用过程: (2)文件解析漏洞 原理: 利用 ...

最新文章

  1. Java基础篇:反射
  2. 2021新兴经济体大学排名发布,129所中国高校上榜!
  3. 在SAP BW中使用ABAP
  4. CORDIC算法——圆周系统之旋转模式
  5. 启动进程 问号_有两个这样的进程:僵尸进程amp;孤儿进程,蓝瘦香菇
  6. 【Python】青少年蓝桥杯_每日一题_7.27_邮箱密码
  7. mysql 一分钟内_MySQL语句需要超过一分钟才能执行
  8. 数据结构:在下述几种树中,()可以表示静态查找表?
  9. 菌群多样性检测_多样性丰富了中学Linux用户群
  10. 小米首部5G手机正式发布 海外营收将很快超过国内
  11. JavaScript将数字转换为大写金额
  12. 解决uploadify在Firefox下丢失session的问题
  13. 告别ASP.NET操作EXCEL的烦恼(总结篇)
  14. mysql——数据库事务(C#代码)
  15. docker打包部署nginx,django应用
  16. eclipse主题颜色的下载与设置
  17. c语言运算符大全极其意义,C语言运算符大全
  18. 2021-07-10蓝桥杯单片机学习知识点总结
  19. 香港云服务器网站备案,中国香港云服务器网站备案
  20. 谈谈对java线程的理解(五)--------ReentrantLock之阻塞队列

热门文章

  1. Anaconda :利用Anaconda Prompt (Anaconda3)建立、设计不同python版本及对应库函数环境之详细攻略
  2. DL之CNN:卷积神经网络算法简介之原理简介——CNN网络的3D可视化(LeNet-5为例可视化)
  3. 成功解决ModuleNotFoundError: No module named 'dataset'
  4. Blockchain:《Blockchain applications in insurance》Deloitte—德勤区块链技术研究报告正文版—听课记录
  5. HighNewTech:带你解读云计算、雾计算(Fog Computing)、边缘计算(Edge Computing)的前世今生
  6. CUMCM之2006B:2006之B题: 艾滋病疗法的评价及疗效的预测
  7. 成功解决Not possible to connect to the Web3 provider. Make sure the provider is running and a connection
  8. 叉乘(三)——线段与线段相交吗?
  9. 软工作业3—词频统计
  10. 表单令牌阻止数据重复提交