Microsoft a confirmat, la 7 septembrie 2021, apariția unei vulnerabilități de executare de cod de la distanță (RCE) în Windows 10. Vulnerabilitatea, clasificată drept CVE-2021-40444 [1], poate permite infractorilor cibernetici să obțină controlul de la distanță al unui sistem compromis și să creeze atacuri de tip zero-day în mediul natural.
Defectul constă în MSHTML, un motor de redare al browserului Internet Explorer. Motoruleste utilizat și în documentele Microsoft Office. În prezent, se știe că CVE-2021-40444 este utilizat pentru a furniza încărcături utile Cobalt Strike - un cadru de emulare a amenințărilor exploatat frecvent.
Un cercetător de la EXPMON a identificat această zi zero pentru prima dată într-un tweet, spunând: "Utilizatorii Office să fie extrem de precauți cu privire la fișierele Office". Ei au raportat incidentul către Microsoft duminică, 5 septembrie. Microsoft a lansat, de asemenea, un Security Advisory la scurt timp după aceea, sugerând soluții de remediere în timp ce compania investighează. Pe 14 septembrie, Microsoft a remediat vulnerabilitatea [2].
Cum exploatează atacatorii CVE-2021-40444
Infractorii cibernetici pot crea un control ActiveX malițios în interiorul unui document Microsoft Office (.docx). Acest document acționează ca gazdă pentru motorul de redare MSTHML al browserului și un OLEObject care direcționează către o pagină web construită.
Atacatorul va trebui apoi să își păcălească ținta pentru a deschide acest document. La deschidere, motorul MSTHML va utiliza controlul ActiveX pentru a rula un fișier HTML cu scripturi ofuscate, urmat de descărcarea de sarcini utile malware sau de controale de acces de la distanță.
Microsoft a observat că utilizatorii cu drepturi de administrator sunt mai predispuși la astfel de atacuri decât cei fără drepturi sau cu mai puține drepturi de utilizator.
Atenuare și remediere
Microsoft a informat că dezactivarea tuturor instalațiilor de control ActiveX în Internet Explorer poate contribui la atenuarea atacurilor actuale. Acest lucru se poate face prin configurarea politicii de grup prin actualizarea registrului sau prin utilizarea editorului local de politici de grup.După dezactivare, noile controale ActiveX nu vor fi instalate, iar controalele ActiveX anterioare vor continua să funcționeze.
Cum poate Deep CDR să protejeze împotriva atacurilor Zero-Day
Dezarmarea și reconstrucția conținutului (CDR) poate contribui la atenuarea riscurilor asociate acestei vulnerabilități. Deep CDR presupune că toate fișierele sunt malițioase, apoi dezinfectează și reconstruiește componentele fișierelor pentru a asigura utilizarea completă cu conținut sigur. Tehnologia poate "dezarma" în mod eficient toate amenințările bazate pe fișiere, amenințările complexe și sandbox-aware, precum și amenințările echipate cu tehnologii de eludare a programelor malware, cum ar fi malware complet nedetectabil sau ofuscare.
În acest caz, tehnologia Deep CDR elimină toate obiectele potențial amenințătoare, precum OLEObject și ActiveX din fișierul document. După igienizare, documentul nu mai conține link-ul HTML rău intenționat.
Amenințările detectate de MetaDefender Cloud au fost scanate, iar rezultatele susțin acțiunile de igienizare:
După igienizare, rezultatele arată că OLEObject a fost eliminat, iar fișierul poate fi deschis în siguranță:
Despre Deep CDR
TehnologiaDeep CDR este lider de piață cu caracteristici superioare precum procesarea arhivelor pe mai multe niveluri, acuratețea regenerării fișierelor și suport pentru peste 100 de tipuri de fișiere. Tehnologia noastră oferă vizualizări aprofundate a ceea ce este igienizat și a modului în care datele sunt igienizate, permițându-vă să faceți alegeri în cunoștință de cauză și să definiți configurații care să vă satisfacă cazurile de utilizare. Rezultatul? Fișiere sigure cu 100% din amenințări eliminate în câteva milisecunde, astfel încât fluxul dvs. de lucru să nu fie întrerupt.
Pentru a afla mai multe despre Deep CDR și despre modul în care OPSWAT vă poate proteja organizația, discutați cu unul dintre experții noștri în securitatea cibernetică a infrastructurilor critice.
Referințe
[1] "Microsoft MSHTML Remote Code Execution Vulnerability". 2021. Microsoft Security Response Center. https://msrc.microsoft.com/upd...
[2] "Microsoft patch-uri activ exploatat MSHTML zero-day RCE (CVE-2021-40444)". 14 septembrie 2021. Help Net Security. https://www.helpnetsecurity.co...
