文章來源:極牛網
最近的網路安全研究觀察到一個短期的網路釣魚活動,利用一種新穎的漏洞利用繞過微軟MSHTML元件遠端程式碼執行漏洞的補丁,進行分發Formbook惡意軟體。
根據網路安全行業門戶「極牛網」GEEKNB。COM的梳理,MSHTML遠端程式碼執行漏洞 CVE-2021-40444(CVSS 評分:8。8),可使用特製的 Microsoft Office 文件利用該漏洞。儘管微軟早已在更新中解決了安全漏洞,但自從與該漏洞有關的細節公開以來,它已被用於多次攻擊。
安全研究人員稱,在 CVE-2021-40444 漏洞的初始版本中,該惡意 Office 文件檢索了打包到 Microsoft 檔案櫃檔案中的惡意軟體負載。當微軟的補丁修復了這個漏洞時,攻擊者發現他們可以透過將惡意文件封裝在一個特製的 RAR 壓縮檔案中可以繞過並利用該漏洞實現不同的供給鏈。
CAB-less 40444,即修改後的漏洞利用程式,在 10 月 24 日至 25 日之間持續了 36 小時,在此期間,包含格式錯誤的 RAR 存檔檔案的垃圾郵件被髮送給潛在受害者。反過來,RAR 檔案包含一個用 Windows 指令碼宿主 ( WSH )編寫的指令碼和一個 Word 文件,該文件在開啟時會聯絡託管惡意 JavaScript 的遠端伺服器。
因此,JavaScript 程式碼利用 Word 文件作為渠道來啟動 WSH 指令碼並在 RAR 檔案中執行嵌入的 PowerShell 命令,以從攻擊者控制的網站檢索Formbook惡意軟體負載。
至於為什麼這個漏洞在使用了一天多一點的時候就消失了,線索在於修改後的 RAR 壓縮檔案不能與舊版本的 WinRAR 程式一起使用。因此,出乎意料的是,使用較舊版本的 WinRAR 的使用者將比使用最新版本的使用者得到更好的保護。
