{"id":3192,"date":"2021-09-10T15:34:20","date_gmt":"2021-09-10T15:34:20","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=3192"},"modified":"2023-09-16T11:04:03","modified_gmt":"2023-09-16T11:04:03","slug":"vulnerabilita-mshtml-difesa-e-threat-hunting","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/defence\/vulnerabilita-mshtml-difesa-e-threat-hunting\/","title":{"rendered":"Vulnerabilit\u00e0 MSHTML: Difesa e Threat Hunting"},"content":{"rendered":"\n

La vulnerabilit\u00e0<\/a> CVE-2021-40444<\/strong> riguarda il motore MSHTML<\/strong> di Internet Explorer.
Sebbene l\u2019utilizzo di Internet Explorer<\/strong> si sia notevolmente ridotto per la navigazione Internet, sono molti i software che lo utilizzano come motore interno, in particolare, tutte le applicazioni di Microsoft Office<\/strong> (Word e PowerPoint).<\/p>\n

Tale vulnerabilit\u00e0 ha quindi permesso la possibilit\u00e0 di creare dei Malware<\/strong> che sfruttano tale vulnerabilit\u00e0 per la compromissione dei sistemi tramite l\u2019invio di documenti Microsoft Office<\/strong> malevoli.<\/p>\n

Fortgale ha eseguito attivit\u00e0 di Threat Hunting<\/strong> per identificare eventuali attacchi di questo tipo all\u2019interno delle reti monitorate.<\/p>\n\n\n\n

Attivit\u00e0 di Threat Hunting<\/h1>\n\n\n\n

Il nostro team di analisti ha condotto attivit\u00e0 di Threat Hunting<\/strong> per l\u2019identificazione di possibili compromissioni relative alla vulnerabilit\u00e0 descritta.<\/p>\n

La prima ricerca consiste nell\u2019identificazione della scrittura su disco di file eseguibili con estensione .inf<\/strong> :<\/p>\n\n\n\n

event_platform=win event_simpleName=PeFileWritten\n| search FileName=\"*.inf\"\n| stats dc(aid) as uniqueSystems, count(aid) as totalWrites values(FilePath) as filePaths by FileName\n| sort + totalWrites\n<\/pre>\n\n\n\n
La seconda ricerca invece permette di identificare specifici parametri nella linea di comando lanciata dal processo rundll32 all’interno del contesto “control.exe”, per identificare l’avvio delle prime fasi di explitation:<\/p>\n\n\n\n
event_platform=win event_simpleName=ProcessRollup2 \nFileName=rundll32.exe ParentBaseFileName=control.exe\n| search CommandLine=\"*.inf*\"\n| stats dc(CommandLine) as cmdLineVarations\n dc(aid) as uniqueEndpoints count(aid) as totalExecutions \nvalues(CommandLine) as commandLines by FileName, ParentBaseFileName\n<\/pre>\n\n\n\n
Dettagli dell’attacco<\/h2>\n\n\n\n
Il file malevolo pu\u00f2 essere inviato come documento Microsoft Office<\/strong> allegato ad un messaggio di posta elettronica<\/strong>. L\u2019apertura del file malevolo avvierebbe il processo di compromissione del sistema.<\/p>\n
Microsoft Office<\/strong> per prevenire gli attacchi provenienti da documenti ricevuti su Internet utilizza la Visualizzazione protetta<\/strong> e l\u2019Application Guar<\/strong>d per Office. Tuttavia, gli utenti possono fare clic sul pulsante \u201cAbilita modifica<\/strong>\u201d disarmando cos\u00ec i meccanismi di sicurezza di Microsoft<\/p>\n
L\u2019attacco inizia attraverso il file html allegato al documento Word ed avvia il download del file \u201cside.html\u201d.<\/p>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n
Dopodich\u00e9 viene scaricato un file .CAB<\/strong>, estratto come DLL<\/strong>. Infine, il file estratto denominato \u201cchampionship.inf\u201d viene eseguito. Per l\u2019esecuzione di tale file viene sfruttato il \u201cdirectory traversal attack<\/strong>\u201d che consiste nello sfruttare un’insufficiente validazione di sicurezza dei file forniti dall’utente.<\/p>\n
Il payload finale del malware \u00e8 un beacon Cobalt Strike<\/strong> che viene avviato sulla macchina della vittima.<\/p>\n\n\n
\n
\"\"<\/figure>\n<\/div>","protected":false},"excerpt":{"rendered":"
Attivit\u00e0 di Threat Hunting event_platform=win event_simpleName=PeFileWritten | search FileName=”*.inf” | stats dc(aid) as uniqueSystems, count(aid) as totalWrites values(FilePath) as filePaths by FileName | sort + totalWrites event_platform=win event_simpleName=ProcessRollup2 FileName=rundll32.exe ParentBaseFileName=control.exe | search CommandLine=”*.inf*” | stats dc(CommandLine) as cmdLineVarations dc(aid) as uniqueEndpoints count(aid) as totalExecutions values(CommandLine) as commandLines by FileName, ParentBaseFileName Dettagli dell’attacco<\/p>\n","protected":false},"author":1,"featured_media":2615,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1497],"tags":[1491,1643,1645,1647,1649],"class_list":["post-3192","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-defence","tag-cve-it","tag-cve-2021-40444-it","tag-exploit-it","tag-mshtml-it","tag-vulnerabiliy-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3192","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=3192"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3192\/revisions"}],"predecessor-version":[{"id":6018,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3192\/revisions\/6018"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=3192"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=3192"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=3192"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}