Một chiến dịch lừa đảo ngắn hạn đã được quan sát thấy lợi dụng một cách khai thác mới đã bỏ qua bản vá do Microsoft đưa ra để sửa lỗ hổng thực thi mã từ xa ảnh hưởng đến thành phần MSHTML với mục tiêu phân phối phần mềm độc hại Formbook.
“Các file đính kèm đại diện cho một sự leo thang của lạm dụng của kẻ tấn công của lỗi CVE-2.021-40.444 và chứng minh rằng ngay cả một miếng vá có thể không phải lúc nào giảm bớt những hành động của một kẻ tấn công có động lực và đủ tay nghề cao,” SophosLabs nhà nghiên cứu Andrew Brandt và Stephen Ormandy cho biết trong một báo cáo mới được công bố hôm thứ Ba.
CVE-2021-40444 (điểm CVSS: 8,8) liên quan đến một lỗ hổng thực thi mã từ xa trong MSHTML có thể bị khai thác bằng cách sử dụng các tài liệu Microsoft Office được chế tạo đặc biệt. Mặc dù Microsoft đã giải quyết điểm yếu về bảo mật như một phần của bản cập nhật Patch Tuesday vào tháng 9 năm 2021 , nhưng nó đã được đưa vào sử dụng trong nhiều cuộc tấn công kể từ khi các chi tiết liên quan đến lỗ hổng được công khai.
Cùng tháng đó, gã khổng lồ công nghệ đã phát hiện ra một chiến dịch lừa đảo có mục tiêu đã tận dụng lỗ hổng để triển khai Cobalt Strike Beacons trên các hệ thống Windows bị xâm phạm. Sau đó vào tháng 11, SafeBreach Labs đã báo cáo chi tiết về một hoạt động của tác nhân đe dọa Iran nhằm vào các nạn nhân nói tiếng Farsi bằng một trình đánh cắp thông tin dựa trên PowerShell mới được thiết kế để thu thập thông tin nhạy cảm.
Chiến dịch mới do Sophos phát hiện nhằm mục đích tìm cách bảo vệ bản vá bằng cách biến hình thành công cụ khai thác Office bằng chứng công khai và vũ khí hóa nó để phân phối phần mềm độc hại Formbook. Công ty an ninh mạng cho biết sự thành công của cuộc tấn công một phần có thể là do một “bản vá tập trung quá hẹp”.
Các nhà nghiên cứu giải thích: “Trong các phiên bản khai thác đầu tiên của CVE-2021-40444, [] tài liệu Office độc hại đã truy xuất tải trọng phần mềm độc hại được đóng gói thành tệp Microsoft Cabinet (hoặc .CAB)”. “Khi bản vá của Microsoft đóng lỗ hổng đó, những kẻ tấn công phát hiện ra rằng họ có thể sử dụng một chuỗi tấn công khác hoàn toàn bằng cách đóng gói maldoc trong một kho lưu trữ RAR được chế tạo đặc biệt.”
CAB-less 40444 , như cách khai thác sửa đổi được gọi, kéo dài trong 36 giờ từ ngày 24 đến ngày 25 tháng 10, trong đó các email spam chứa tệp lưu trữ RAR không đúng định dạng đã được gửi đến các nạn nhân tiềm năng. Đến lượt mình, tệp RAR bao gồm một tập lệnh được viết bằng Windows Script Host ( WSH ) và một Tài liệu Word mà khi mở ra, nó đã liên hệ với một máy chủ từ xa lưu trữ JavaScript độc hại.
Do đó, mã JavaScript đã sử dụng Tài liệu Word làm đường dẫn để khởi chạy tập lệnh WSH và thực thi lệnh PowerShell được nhúng trong tệp RAR để truy xuất tải phần mềm độc hại Formbook từ trang web do kẻ tấn công kiểm soát.
Về lý do tại sao khai thác biến mất một chút sau một ngày được sử dụng, manh mối nằm ở thực tế là các tệp lưu trữ RAR đã sửa đổi sẽ không hoạt động với các phiên bản cũ hơn của tiện ích WinRAR. Các nhà nghiên cứu cho biết: “Vì vậy, thật bất ngờ, trong trường hợp này, người dùng phiên bản WinRAR cũ hơn, lỗi thời hơn nhiều sẽ được bảo vệ tốt hơn so với người dùng phiên bản mới nhất.
Nhà nghiên cứu chính của SophosLabs, Andrew Brandt cho biết: “Nghiên cứu này là một lời nhắc nhở rằng bản vá không thể bảo vệ khỏi tất cả các lỗ hổng trong mọi trường hợp. “Đặt các giới hạn ngăn người dùng vô tình kích hoạt một tài liệu độc hại sẽ giúp ích, nhưng mọi người vẫn có thể bị dụ nhấp vào nút ‘bật nội dung’.”
“Do đó, điều tối quan trọng là phải giáo dục nhân viên và nhắc nhở họ nghi ngờ về các tài liệu được gửi qua email, đặc biệt là khi họ nhận được các định dạng tệp nén bất thường hoặc không quen thuộc từ những người hoặc công ty mà họ không biết”, Brandt nói thêm.
