A Microsoft 2021. szeptember 7-én megerősítette, hogy a Windows 10-ben távoli kódfuttatási (RCE) sebezhetőség lépett fel. A CVE-2021-40444 [1] besorolású sebezhetőség lehetővé teheti a kiberbűnözők számára, hogy távoli irányítást szerezzenek egy veszélyeztetett rendszer felett, és nulladik napi támadásokat hozzanak létre a vadonban.
A hiba az MSHTML-ben, az Internet Explorer böngésző megjelenítő motorjában található. Amotort a Microsoft Office dokumentumokban is használják. A CVE-2021-40444 jelenleg ismert, hogy a Cobalt Strike hasznos terheléseket - egy általánosan kihasználható fenyegetés-emulációs keretrendszert - szállít.
Az EXPMON kutatója először egy tweetben azonosította ezt a nulladik napot: "Az Office felhasználók legyenek rendkívül óvatosak az Office fájlokkal kapcsolatban". Az esetet szeptember 5-én, vasárnap jelentették a Microsoftnak. A Microsoft nem sokkal később biztonsági tanácsadást is kiadott, amelyben megoldásokat javasol, amíg a vállalat kivizsgálja a problémát. Szeptember 14-én a Microsoft kijavította a sebezhetőséget [2].
Hogyan használják ki a támadók a CVE-2021-40444-et?
A kiberbűnözők rosszindulatú ActiveX-vezérlőt készíthetnek egy Microsoft Office dokumentum (.docx) belsejében. Ez a dokumentum az MSTHML böngésző renderelő motorjának és egy OLEObjectnek a gazdájaként szolgál, amely egy létrehozott weboldalra irányít.
A támadónak ezután meg kell csalnia a célpontot, hogy megnyissa ezt a dokumentumot. A megnyitás után az MSTHML motor az ActiveX vezérlő segítségével egy homályosított szkripteket tartalmazó HTML-fájlt futtat, amelyet a rosszindulatú programok hasznos terheinek vagy távoli hozzáférési vezérlők letöltése követ.
A Microsoft megjegyezte, hogy a rendszergazdai jogokkal rendelkező felhasználók sokkal fogékonyabbak az ilyen támadásokra, mint a rendszergazdai jogokkal nem vagy kevesebb felhasználói joggal rendelkezők.
Kárenyhítés és megoldás
A Microsoft azt tanácsolta, hogy az Internet Explorer összes ActiveX-vezérlőjének letiltása segíthet a jelenlegi támadások enyhítésében. Ezt a csoportházirend konfigurálásával lehet megtenni a helyi csoportházirend-szerkesztő segítségével a rendszerleíró adatbázis frissítésével.A letiltás után az új ActiveX-vezérlők nem települnek, és a korábbi ActiveX-vezérlők továbbra is futnak.
Hogyan védhet Deep CDR a nulladik napi támadások ellen?
A tartalmi hatástalanítás és újjáépítés (CDR) segíthet az ezzel a sebezhetőséggel kapcsolatos kockázatok mérséklésében. Deep CDR feltételezi, hogy minden fájl rosszindulatú, majd szanálja és újraépíti a fájlkomponenseket, hogy biztonságos tartalommal biztosítsa a teljes használhatóságot. A technológia hatékonyan "hatástalanít" minden fájlalapú fenyegetést, összetett és sandbox-tudatos fenyegetést, valamint a rosszindulatú programok kijátszására szolgáló technológiával, például teljesen felderíthetetlen rosszindulatú szoftverekkel vagy obfuscationnel felszerelt fenyegetéseket.
Ebben az esetben a Deep CDR technológia eltávolítja az összes potenciális fenyegető objektumot, például az OLEObjectet és az ActiveX-et a dokumentumfájlból. A szanálás után a dokumentum már nem tartalmazza a rosszindulatú HTML-linket.
A MetaDefender Cloud által észlelt fenyegetések átvizsgálásra kerültek, és az eredmények támogatják a szanálási műveleteket:
A szanálás után az eredmények azt mutatják, hogy az OLEObject eltávolításra került, és a fájl biztonságosan megnyitható:
A Deep CDR
ADeep CDR technológia piacvezető, és olyan kiváló tulajdonságokkal rendelkezik, mint a többszintű archiválás, a fájlregenerálás pontossága és a több mint 100 fájltípus támogatása. Technológiánk mélyreható nézetet nyújt arról, hogy mit és hogyan tisztítanak az adatok, lehetővé téve, hogy megalapozott döntéseket hozzon, és a felhasználási eseteknek megfelelő konfigurációkat határozzon meg. Az eredmény? Biztonságos fájlok, amelyekben a fenyegetések 100%-a milliszekundumokon belül megszűnik, így a munkafolyamat nem szakad meg.
Ha többet szeretne megtudni a Deep CDR és arról, hogy OPSWAT hogyan védheti meg szervezetét, beszéljen kritikus infrastruktúrák kiberbiztonsági szakértőink egyikével.
Hivatkozások
[1] "Microsoft MSHTML távoli kódvégrehajtási sebezhetőség". 2021. Microsoft Security Response Center. https://msrc.microsoft.com/upd...
[2] "A Microsoft aktívan kihasználja az MSHTML nulladik napi RCE-t (CVE-2021-40444)". 2021. szeptember 14. Help Net Security. https://www.helpnetsecurity.co...
