攻击技术研判|CVE-2021-40444漏洞在野利用新手法

一、情报背景

继今年9月,微软发布一系列针对CVE-2021-40444 MSHTML远程代码执行的缓解措施,原有依赖CAB文件的利用链被阻断。对在野攻击事件进行研判时,我们发现攻击者使用了新的漏洞利用方式来突破缓解措施和补丁保护。本文将对CVE-2021-40444的在野攻击链及涉及的攻击技术进行技术研判。

二、攻击技术分析

在CVE-2021-40444 漏洞利用的初始版本中,需要利用CAB来存储释放恶意的PE载荷,新的利用链巧妙利用RAR文件特性构造新的利用链。

攻击过程:

1.  用户打开特制的RAR文档,RAR文档释放含有CVE-2021-40444漏洞的DOCX文档

2.  用户打开DOCX文档,Word远程加载包含恶意JavaScript远程页面,成功触发漏洞

3.  在JavaScript中利用Wscript.exe执行隐藏于特制RAR文档中的wsf脚本

4.  在wsf脚本中启动PowerShell,执行后续恶意操作

亮点一:CVE-2021-40444新利用链

原利用链依赖于远程下载CAB文件,配合CAB文件的路径遍历漏洞,将恶意文件释放到可预测目录,加载恶意文件达到代码执行的目的。在九月补丁中,微软已将CAB的路径遍历漏洞一并修复,导致该利用链被阻断。利用依赖的CAB文件也众多安全产品标记,进一步封锁了该利用链的生存空间。

本次在野攻击中出现的新利用链采用了“无CAB”的攻击方式,规避了最初微软对CAB文件的缓解措施。攻击者在Word文档中插入了一个恶意htmlfile OLE对象,当目标用户点击了文档后会自动请求攻击者控制的远程html页面。攻击者在html页面中插入了一个ActiveX控件,该代码会以”wsf://”协议唤起WScript.exe执行嵌入在RAR中的wsf恶意脚本。

“wsf://”协议绑定WScript.exe

亮点二:利用RAR文件格式特性隐藏恶意脚本内容

攻击者在初始投递的RAR文件头部嵌入了恶意代码。这种恶意代码嵌入方式使得该RAR文件既可以作为有效的压缩文件被解压释放,又可以被wscript.exe程序作为脚本直接执行。

在RAR文件头嵌入恶意代码

达成这种一箭双雕的攻击手法,攻击者巧妙利用了RAR文件的结构特性。普通的RAR压缩文件以”Rar!”文件头开始,而自解压RAR文件则由文件前端的自解压模块(PE文件)部分和原始RAR文件拼接而成。这种设计导致RAR软件会忽略”Rar!”文件头之前的所有内容,使得攻击者构造的畸形RAR文档仍可被正常打开。

三、总结

攻击者将CVE-2021-40444的利用链进行了升级,不仅避免了文件下载的行为,同时避免初次利用中CAB释放过程对路径遍历漏洞的依赖,缩短利用链的同时,增加了成功率。目前许多的安全产品对于该漏洞现有的检测方式还不够完善,对于新的利用手法未必能有效检测。该利用链的产生也暴露了CVE-2021-40444漏洞可能存在的其他利用方法,值得相关人员警惕。

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment