9月7日,微软发布安全公告,宣布在Windows IE MSHTML中发现远程代码执行漏洞(CVE编号CVE-2023-40444)。由于该漏洞尚未发布补丁,微软正在利用该漏洞利用恶意ActiveX控件利用Office 365和Office 2023将恶意软件下载到受影响的Windows 10主机上。
研究人员随后发现存在使用恶意Word 文档的攻击活动。这是一次利用真正漏洞的零日攻击。
当Office 打开文档时,它会检查该文档是否带有“Web 标记”(MoTW),这意味着它来自Internet。如果存在该标记,Microsoft 将以只读模式打开文档,除非用户单击“启用编辑”按钮。
保护在View 中打开的Word 文件
漏洞分析师Will Dorman 表示,Protected View 功能可以帮助缓解漏洞,但Dorman 表示,虽然Protected View 功能可以帮助预防漏洞,但许多用户仍然没有收到警告。他表示,历史数据显示,单击忽略并启用编辑。按钮。
但是,有很多方法可以阻止您的文件接受MoTW 标签。如果您的文件位于容器内,您可能不知道MotW 的存在。例如,使用7zip 打开下载的压缩文件后,解压的文件将不会被标记为来自Internet。同样,如果该文件位于ISO 文件内,Windows 用户可以通过双击ISO 将其打开。但是,Windows 并不将内容视为来自Internet。
Dorman 还发现,该漏洞也可能在不具备Office Protected View 安全功能的RTF 文件中被利用。
微软此前发布了阻止ActiveX在IE中运行的对策,以阻止潜在的攻击。然而,安全研究员Kevin Beaumont 找到了绕过微软缓解措施的方法。
攻击活动中使用的恶意文字文件的名称为“法庭前的一封信4.docx”(https://www.virustotal.com/gui/file/d0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6)。
由于该文件是从Internet 下载的,因此它被标记为Web 标记并在Word 的受保护视图中打开。
利用CVE-2023-40444漏洞的恶意词语
当用户单击按钮启用编辑时,该漏洞利用mhtml 协议打开位于远程站点的side.html 文件,该文件作为Word 模板加载。
一旦“mhtml”URL在IE中注册,浏览器就会开始加载HTML,并且混淆的JS代码会通过创建恶意ActiveX控件来利用CVE-2023-40444漏洞。
Side.html 文件中的混淆JS 代码
ActiveX 控件从远程站点下载Ministries.cab 文件,提取Championship.inf 文件(实际上是一个DLL 文件),并将其作为CPL 文件运行。
将冠军.inf 文件作为CPL 文件运行
根据趋势科技的说法,最终的有效负载会安装Cobalt Strike,这是一种允许攻击者远程访问设备的恶意软件。
一旦攻击者获得对受害者计算机的远程访问权限,就可以利用它在整个网络中传播恶意软件、安装其他恶意软件、窃取文件以及部署勒索软件。
由于该漏洞的严重性,研究人员建议用户仅打开来自可信来源的附件。
【网络安全学习资料】
本文和图片来自网络,不代表火豚游戏立场,如若侵权请联系我们删除:https://www.huotun.com/game/663315.html