La vulnerabilità CVE-2021-40444 riguarda il motore MSHTML di Internet Explorer.
Sebbene l’utilizzo di Internet Explorer si sia notevolmente ridotto per la navigazione Internet, sono molti i software che lo utilizzano come motore interno, in particolare, tutte le applicazioni di Microsoft Office (Word e PowerPoint).

Tale vulnerabilità ha quindi permesso la possibilità di creare dei Malware che sfruttano tale vulnerabilità per la compromissione dei sistemi tramite l’invio di documenti Microsoft Office malevoli.

Fortgale ha eseguito attività di Threat Hunting per identificare eventuali attacchi di questo tipo all’interno delle reti monitorate.

Attività di Threat Hunting

Il nostro team di analisti ha condotto attività di Threat Hunting per l’identificazione di possibili compromissioni relative alla vulnerabilità descritta.

La prima ricerca consiste nell’identificazione della scrittura su disco di file eseguibili con estensione .inf :

event_platform=win event_simpleName=PeFileWritten
| search FileName="*.inf"
| stats dc(aid) as uniqueSystems, count(aid) as totalWrites values(FilePath) as filePaths by FileName
| sort + totalWrites

La seconda ricerca invece permette di identificare specifici parametri nella linea di comando lanciata dal processo rundll32 all’interno del contesto “control.exe”, per identificare l’avvio delle prime fasi di explitation:

event_platform=win event_simpleName=ProcessRollup2 
FileName=rundll32.exe ParentBaseFileName=control.exe
| search CommandLine="*.inf*"
| stats dc(CommandLine) as cmdLineVarations
 dc(aid) as uniqueEndpoints count(aid) as totalExecutions 
values(CommandLine) as commandLines by FileName, ParentBaseFileName

Dettagli dell’attacco

Il file malevolo può essere inviato come documento Microsoft Office allegato ad un messaggio di posta elettronica. L’apertura del file malevolo avvierebbe il processo di compromissione del sistema.

Microsoft Office per prevenire gli attacchi provenienti da documenti ricevuti su Internet utilizza la Visualizzazione protetta e l’Application Guard per Office. Tuttavia, gli utenti possono fare clic sul pulsante “Abilita modifica” disarmando così i meccanismi di sicurezza di Microsoft

L’attacco inizia attraverso il file html allegato al documento Word ed avvia il download del file “side.html”.

Dopodiché viene scaricato un file .CAB, estratto come DLL. Infine, il file estratto denominato “championship.inf” viene eseguito. Per l’esecuzione di tale file viene sfruttato il “directory traversal attack” che consiste nello sfruttare un’insufficiente validazione di sicurezza dei file forniti dall’utente.

Il payload finale del malware è un beacon Cobalt Strike che viene avviato sulla macchina della vittima.

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Vulnerabilità MSHTML: Difesa e Threat Hunting

Attività di Threat Hunting

Dettagli dell’attacco

Cookie & Privacy