La vulnerabilità CVE-2021-40444 riguarda il motore MSHTML di Internet Explorer.
Sebbene l’utilizzo di Internet Explorer si sia notevolmente ridotto per la navigazione Internet, sono molti i software che lo utilizzano come motore interno, in particolare, tutte le applicazioni di Microsoft Office (Word e PowerPoint).

Tale vulnerabilità ha quindi permesso la possibilità di creare dei Malware che sfruttano tale vulnerabilità per la compromissione dei sistemi tramite l’invio di documenti Microsoft Office malevoli.

Fortgale ha eseguito attività di Threat Hunting per identificare eventuali attacchi di questo tipo all’interno delle reti monitorate.

Attività di Threat Hunting

Il nostro team di analisti ha condotto attività di Threat Hunting per l’identificazione di possibili compromissioni relative alla vulnerabilità descritta.

La prima ricerca consiste nell’identificazione della scrittura su disco di file eseguibili con estensione .inf :

event_platform=win event_simpleName=PeFileWritten
| search FileName="*.inf"
| stats dc(aid) as uniqueSystems, count(aid) as totalWrites values(FilePath) as filePaths by FileName
| sort + totalWrites

La seconda ricerca invece permette di identificare specifici parametri nella linea di comando lanciata dal processo rundll32 all’interno del contesto “control.exe”, per identificare l’avvio delle prime fasi di explitation:

event_platform=win event_simpleName=ProcessRollup2 
FileName=rundll32.exe ParentBaseFileName=control.exe
| search CommandLine="*.inf*"
| stats dc(CommandLine) as cmdLineVarations
 dc(aid) as uniqueEndpoints count(aid) as totalExecutions 
values(CommandLine) as commandLines by FileName, ParentBaseFileName

Dettagli dell’attacco

Il file malevolo può essere inviato come documento Microsoft Office allegato ad un messaggio di posta elettronica. L’apertura del file malevolo avvierebbe il processo di compromissione del sistema.

Microsoft Office per prevenire gli attacchi provenienti da documenti ricevuti su Internet utilizza la Visualizzazione protetta e l’Application Guard per Office. Tuttavia, gli utenti possono fare clic sul pulsante “Abilita modifica” disarmando così i meccanismi di sicurezza di Microsoft

L’attacco inizia attraverso il file html allegato al documento Word ed avvia il download del file “side.html”.

Dopodiché viene scaricato un file .CAB, estratto come DLL. Infine, il file estratto denominato “championship.inf” viene eseguito. Per l’esecuzione di tale file viene sfruttato il “directory traversal attack” che consiste nello sfruttare un’insufficiente validazione di sicurezza dei file forniti dall’utente.

Il payload finale del malware è un beacon Cobalt Strike che viene avviato sulla macchina della vittima.

Take your cyber- defence to a new level!

Cybersecurity is of vital importance in today's digital landscape. Our innovative and tailored solutions provide impenetrable defense for businesses of all sizes.

More info here

Related articles

qr code phishing
In the ever-evolving landscape of cyber threats, threat actors are constantly seeking […]
Risks and Solutions How to protect and how to react The identification […]
fickerstealer
Over the last week (26th of July 2021), CERT-AGID observed a malspam […]