Il 7 settembre 2021 Microsoft ha confermato che in Windows 10 si è verificata una vulnerabilità di esecuzione di codice da remoto (RCE). La vulnerabilità, classificata come CVE-2021-40444 [1], può consentire ai criminali informatici di ottenere il controllo remoto di un sistema compromesso e creare attacchi zero-day in libertà.
Il difetto risiede in MSHTML, un motore di rendering del browser in Internet Explorer. Il motoreè utilizzato anche nei documenti di Microsoft Office. La CVE-2021-40444 è attualmente nota per essere utilizzata per fornire payload Cobalt Strike, un framework di emulazione delle minacce comunemente sfruttato.
Un ricercatore di EXPMON ha identificato questo zero-day per la prima volta in un tweet, dicendo: "Gli utenti di Office siano estremamente cauti con i file di Office". Hanno segnalato l'incidente a Microsoft domenica 5 settembre. Poco dopo, Microsoft ha rilasciato un avviso di sicurezza, suggerendo soluzioni di sicurezza mentre l'azienda indaga. Il 14 settembre Microsoft ha risolto la vulnerabilità [2].
Come gli attaccanti sfruttano CVE-2021-40444
I criminali informatici possono creare un controllo ActiveX dannoso all'interno di un documento Microsoft Office (.docx). Questo documento funge da host per il motore di rendering del browser MSTHML e per un OLEObject che indirizza a una pagina web costruita.
L'aggressore deve quindi ingannare l'obiettivo per aprire questo documento. All'apertura, il motore MSTHML utilizzerà il controllo ActiveX per eseguire un file HTML con script offuscati, seguito dal download di payload di malware o controlli di accesso remoto.
Microsoft ha osservato che gli utenti con diritti di amministratore sono più suscettibili a tali attacchi rispetto a quelli senza o con meno diritti di utente.
Attenuazione e soluzione
Microsoft consiglia di disabilitare tutte le installazioni di controlli ActiveX in Internet Explorer per mitigare gli attacchi in corso. Questo può essere fatto configurando i Criteri di gruppo aggiornando il registro di sistema o utilizzando l'Editor dei Criteri di gruppo locali.Dopo la disabilitazione, i nuovi controlli ActiveX non verranno installati e i controlli ActiveX precedenti continueranno a funzionare.
How Deep CDR™ Technology Can Protect Against Zero-Day Attacks
Content Disarm and Reconstruction (CDR) can aid in mitigating the risks associated with this vulnerability. Deep CDR™ Technology assumes all files are malicious, then sanitizes and rebuilds the file components to ensure full usability with safe content. The technology can effectively ‘disarms’ all file-based threats, complex and sandbox-aware threats, and threats equipped with malware evasion technology such as fully undetectable malware or obfuscation.
In this case, the Deep CDR™ Technology removes all potential threat objects like the OLEObject and ActiveX from the document file. After sanitization, the document no longer contains the malicious HTML link.
Le minacce rilevate da MetaDefender Cloud sono state scansionate e i risultati supportano le azioni di sanificazione:
Dopo la sanificazione, i risultati mostrano che l'OLEObject è stato rimosso e il file può essere aperto in modo sicuro:
About Deep CDR™ Technology
Deep CDR™ Technology is a market leader with superior features like multi-level archive processing, the accuracy of file regeneration, and support for 100+ file types. Our technology provides in-depth views of what is being sanitized and how data are sanitized, allowing you to make informed choices and define configurations to meet your use cases. The result? Safe files with 100% of threats eliminated within milliseconds, so your workflow is not interrupted.
To learn more about Deep CDR™ Technology and how OPSWAT can protect your organization, talk to one of our critical infrastructure cybersecurity experts.
Riferimenti
[1] "Vulnerabilità di Microsoft MSHTML Remote Code Execution". 2021. Microsoft Security Response Center. https://msrc.microsoft.com/upd...
[2] "Microsoft applica una patch a MSHTML sfruttato attivamente come RCE zero-day (CVE-2021-40444)". 14 settembre 2021. Help Net Security. https://www.helpnetsecurity.co...
