Microsoft a confirmat, la 7 septembrie 2021, apariția unei vulnerabilități de executare de cod de la distanță (RCE) în Windows 10. Vulnerabilitatea, clasificată drept CVE-2021-40444 [1], poate permite infractorilor cibernetici să obțină controlul de la distanță al unui sistem compromis și să creeze atacuri de tip zero-day în mediul natural.
Defectul constă în MSHTML, un motor de redare al browserului Internet Explorer. Motoruleste utilizat și în documentele Microsoft Office. În prezent, se știe că CVE-2021-40444 este utilizat pentru a furniza încărcături utile Cobalt Strike - un cadru de emulare a amenințărilor exploatat frecvent.
Un cercetător de la EXPMON a identificat această zi zero pentru prima dată într-un tweet, spunând: "Utilizatorii Office să fie extrem de precauți cu privire la fișierele Office". Ei au raportat incidentul către Microsoft duminică, 5 septembrie. Microsoft a lansat, de asemenea, un Security Advisory la scurt timp după aceea, sugerând soluții de remediere în timp ce compania investighează. Pe 14 septembrie, Microsoft a remediat vulnerabilitatea [2].
Cum exploatează atacatorii CVE-2021-40444
Infractorii cibernetici pot crea un control ActiveX malițios în interiorul unui document Microsoft Office (.docx). Acest document acționează ca gazdă pentru motorul de redare MSTHML al browserului și un OLEObject care direcționează către o pagină web construită.
Atacatorul va trebui apoi să își păcălească ținta pentru a deschide acest document. La deschidere, motorul MSTHML va utiliza controlul ActiveX pentru a rula un fișier HTML cu scripturi ofuscate, urmat de descărcarea de sarcini utile malware sau de controale de acces de la distanță.
Microsoft a observat că utilizatorii cu drepturi de administrator sunt mai predispuși la astfel de atacuri decât cei fără drepturi sau cu mai puține drepturi de utilizator.
Atenuare și remediere
Microsoft a informat că dezactivarea tuturor instalațiilor de control ActiveX în Internet Explorer poate contribui la atenuarea atacurilor actuale. Acest lucru se poate face prin configurarea politicii de grup prin actualizarea registrului sau prin utilizarea editorului local de politici de grup.După dezactivare, noile controale ActiveX nu vor fi instalate, iar controalele ActiveX anterioare vor continua să funcționeze.
Cum tehnologia Deep CDR™ poate proteja împotriva atacurilor zero-day
Dezarmarea și reconstrucția conținutului (CDR) pot contribui la atenuarea riscurilor asociate acestei vulnerabilități. Tehnologia Deep CDR™ presupune că toate fișierele sunt dăunătoare, apoi curăță și reconstruiește componentele fișierului pentru a asigura utilizarea completă a conținutului sigur. Tehnologia poate „dezarma” în mod eficient toate amenințările bazate pe fișiere, amenințările complexe și conștiente de sandbox, precum și amenințările echipate cu tehnologie de evitare a malware-ului, cum ar fi malware-ul complet nedetectabil sau ofuscarea.
În acest caz, tehnologia Deep CDR™ elimină toate obiectele potențial periculoase, precum OLEObject și ActiveX, din fișierul documentului. După curățare, documentul nu mai conține linkul HTML rău intenționat.
Amenințările detectate de MetaDefender Cloud au fost scanate, iar rezultatele susțin acțiunile de igienizare:
După igienizare, rezultatele arată că OLEObject a fost eliminat, iar fișierul poate fi deschis în siguranță:
Despre tehnologia Deep CDR™
Tehnologia Deep CDR™ este lider de piață, oferind caracteristici superioare, precum procesarea arhivelor pe mai multe niveluri, precizia regenerării fișierelor și suport pentru peste 100 de tipuri de fișiere. Tehnologia noastră oferă o imagine detaliată a ceea ce este curățat și a modului în care sunt curățate datele, permițându-vă să luați decizii informate și să definiți configurații care să se potrivească cazurilor dvs. de utilizare. Rezultatul? Fișiere sigure, cu 100% din amenințări eliminate în milisecunde, astfel încât fluxul dvs. de lucru să nu fie întrerupt.
Pentru a afla mai multe despre tehnologia Deep CDR™ și despre modul în care OPSWAT proteja organizația dvs., discutați cu unul dintre experții noștri în securitatea cibernetică a infrastructurilor critice.
Referințe
[1] "Microsoft MSHTML Remote Code Execution Vulnerability". 2021. Microsoft Security Response Center. https://msrc.microsoft.com/upd...
[2] "Microsoft patch-uri activ exploatat MSHTML zero-day RCE (CVE-2021-40444)". 14 septembrie 2021. Help Net Security. https://www.helpnetsecurity.co...
