A Microsoft 2021. szeptember 7-én megerősítette, hogy a Windows 10-ben távoli kódfuttatási (RCE) sebezhetőség lépett fel. A CVE-2021-40444 [1] besorolású sebezhetőség lehetővé teheti a kiberbűnözők számára, hogy távoli irányítást szerezzenek egy veszélyeztetett rendszer felett, és nulladik napi támadásokat hozzanak létre a vadonban.
A hiba az MSHTML-ben, az Internet Explorer böngésző megjelenítő motorjában található. Amotort a Microsoft Office dokumentumokban is használják. A CVE-2021-40444 jelenleg ismert, hogy a Cobalt Strike hasznos terheléseket - egy általánosan kihasználható fenyegetés-emulációs keretrendszert - szállít.
Az EXPMON kutatója először egy tweetben azonosította ezt a nulladik napot: "Az Office felhasználók legyenek rendkívül óvatosak az Office fájlokkal kapcsolatban". Az esetet szeptember 5-én, vasárnap jelentették a Microsoftnak. A Microsoft nem sokkal később biztonsági tanácsadást is kiadott, amelyben megoldásokat javasol, amíg a vállalat kivizsgálja a problémát. Szeptember 14-én a Microsoft kijavította a sebezhetőséget [2].
Hogyan használják ki a támadók a CVE-2021-40444-et?
A kiberbűnözők rosszindulatú ActiveX-vezérlőt készíthetnek egy Microsoft Office dokumentum (.docx) belsejében. Ez a dokumentum az MSTHML böngésző renderelő motorjának és egy OLEObjectnek a gazdájaként szolgál, amely egy létrehozott weboldalra irányít.
A támadónak ezután meg kell csalnia a célpontot, hogy megnyissa ezt a dokumentumot. A megnyitás után az MSTHML motor az ActiveX vezérlő segítségével egy homályosított szkripteket tartalmazó HTML-fájlt futtat, amelyet a rosszindulatú programok hasznos terheinek vagy távoli hozzáférési vezérlők letöltése követ.
A Microsoft megjegyezte, hogy a rendszergazdai jogokkal rendelkező felhasználók sokkal fogékonyabbak az ilyen támadásokra, mint a rendszergazdai jogokkal nem vagy kevesebb felhasználói joggal rendelkezők.
Kárenyhítés és megoldás
A Microsoft azt tanácsolta, hogy az Internet Explorer összes ActiveX-vezérlőjének letiltása segíthet a jelenlegi támadások enyhítésében. Ezt a csoportházirend konfigurálásával lehet megtenni a helyi csoportházirend-szerkesztő segítségével a rendszerleíró adatbázis frissítésével.A letiltás után az új ActiveX-vezérlők nem települnek, és a korábbi ActiveX-vezérlők továbbra is futnak.
Hogyan véd a Deep CDR™ technológia a zero-day támadások ellen?
A tartalom-semlegesítés és -újraépítés (CDR) segíthet a sebezhetőséggel kapcsolatos kockázatok csökkentésében. A Deep CDR™ technológia minden fájlt rosszindulatúnak tekint, majd megtisztítja és újjáépíti a fájl összetevőit, hogy biztosítsa a biztonságos tartalommal való teljes körű használhatóságot. A technológia hatékonyan „semlegesíti” az összes fájlalapú fenyegetést, a komplex és a sandbox-tudatos fenyegetéseket, valamint azokat a fenyegetéseket, amelyek rosszindulatú programok felismerését megkerülő technológiákkal rendelkeznek, például a teljesen felismerhetetlen rosszindulatú programokat vagy az elrejtő technológiákat.
Ebben az esetben a Deep CDR™ technológia eltávolítja a dokumentumfájlból az összes potenciálisan veszélyes objektumot, például az OLEObject-et és az ActiveX-et. A tisztítás után a dokumentum már nem tartalmazza a rosszindulatú HTML-linket.
A MetaDefender Cloud által észlelt fenyegetések átvizsgálásra kerültek, és az eredmények támogatják a szanálási műveleteket:
A szanálás után az eredmények azt mutatják, hogy az OLEObject eltávolításra került, és a fájl biztonságosan megnyitható:
A Deep CDR™ technológiáról
A Deep CDR™ technológia piacvezető megoldás, amely olyan kiemelkedő funkciókkal rendelkezik, mint a többszintű archívum-feldolgozás, a fájlok pontos visszaállítása és több mint 100 fájltípus támogatása. Technológiánk részletes áttekintést nyújt arról, hogy pontosan mely fájlokat és milyen módon tisztítjuk meg, így Ön megalapozott döntéseket hozhat, és az Ön igényeinek megfelelő beállításokat határozhat meg. Az eredmény? Biztonságos fájlok, amelyekből a fenyegetések 100%-a milliszekundumok alatt eltávolításra kerül, így a munkafolyamat nem szakad meg.
Ha többet szeretne megtudni a Deep CDR™ technológiáról és arról, hogy OPSWAT hogyan OPSWAT megvédeni szervezetét, vegye fel a kapcsolatot egyik kritikus infrastruktúra-kiberbiztonsági szakértőnkkel.
Hivatkozások
[1] "Microsoft MSHTML távoli kódvégrehajtási sebezhetőség". 2021. Microsoft Security Response Center. https://msrc.microsoft.com/upd...
[2] "A Microsoft aktívan kihasználja az MSHTML nulladik napi RCE-t (CVE-2021-40444)". 2021. szeptember 14. Help Net Security. https://www.helpnetsecurity.co...
