La vulnerabilità CVE-2021-40444 riguarda il motore MSHTML di Internet Explorer.
Sebbene l’utilizzo di Internet Explorer si sia notevolmente ridotto per la navigazione Internet, sono molti i software che lo utilizzano come motore interno, in particolare, tutte le applicazioni di Microsoft Office (Word e PowerPoint).

Tale vulnerabilità ha quindi permesso la possibilità di creare dei Malware che sfruttano tale vulnerabilità per la compromissione dei sistemi tramite l’invio di documenti Microsoft Office malevoli.

Fortgale ha eseguito attività di Threat Hunting per identificare eventuali attacchi di questo tipo all’interno delle reti monitorate.

Attività di Threat Hunting

Il nostro team di analisti ha condotto attività di Threat Hunting per l’identificazione di possibili compromissioni relative alla vulnerabilità descritta.

La prima ricerca consiste nell’identificazione della scrittura su disco di file eseguibili con estensione .inf :

event_platform=win event_simpleName=PeFileWritten
| search FileName="*.inf"
| stats dc(aid) as uniqueSystems, count(aid) as totalWrites values(FilePath) as filePaths by FileName
| sort + totalWrites

La seconda ricerca invece permette di identificare specifici parametri nella linea di comando lanciata dal processo rundll32 all’interno del contesto “control.exe”, per identificare l’avvio delle prime fasi di explitation:

event_platform=win event_simpleName=ProcessRollup2 
FileName=rundll32.exe ParentBaseFileName=control.exe
| search CommandLine="*.inf*"
| stats dc(CommandLine) as cmdLineVarations
 dc(aid) as uniqueEndpoints count(aid) as totalExecutions 
values(CommandLine) as commandLines by FileName, ParentBaseFileName

Dettagli dell’attacco

Il file malevolo può essere inviato come documento Microsoft Office allegato ad un messaggio di posta elettronica. L’apertura del file malevolo avvierebbe il processo di compromissione del sistema.

Microsoft Office per prevenire gli attacchi provenienti da documenti ricevuti su Internet utilizza la Visualizzazione protetta e l’Application Guard per Office. Tuttavia, gli utenti possono fare clic sul pulsante “Abilita modifica” disarmando così i meccanismi di sicurezza di Microsoft

L’attacco inizia attraverso il file html allegato al documento Word ed avvia il download del file “side.html”.

Dopodiché viene scaricato un file .CAB, estratto come DLL. Infine, il file estratto denominato “championship.inf” viene eseguito. Per l’esecuzione di tale file viene sfruttato il “directory traversal attack” che consiste nello sfruttare un’insufficiente validazione di sicurezza dei file forniti dall’utente.

Il payload finale del malware è un beacon Cobalt Strike che viene avviato sulla macchina della vittima.