{"id":3221,"date":"2021-09-20T13:47:40","date_gmt":"2021-09-20T13:47:40","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=3221"},"modified":"2023-09-16T11:03:00","modified_gmt":"2023-09-16T11:03:00","slug":"vulnerabilita-mshtml-cve-2021-40444","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/defence\/vulnerabilita-mshtml-cve-2021-40444\/","title":{"rendered":"Vulnerabilit\u00e0 MSHTML CVE-2021-40444"},"content":{"rendered":"\n<p> La vulnerabilit\u00e0 <strong>CVE-2021-40444<\/strong>&nbsp;riguarda il motore&nbsp;<strong>MSHTML<\/strong>&nbsp;di Internet Explorer. <\/p>\n\n\n\n<p>Le prime campagne che sfruttano questa vulnerabilit\u00e0 sono state identificate ad Agosto 2021. L&#8217;attacco ha inizio attraverso l&#8217;invio di mail malevole contenenti dei documenti creati appositamente per sfruttare la vulnerabilit\u00e0 di <strong>MSHTML<\/strong>. Il documento utilizza una relazione <strong>oleObject <\/strong>esterna per incorporare il codice JavaScript che \u00e8 contenuto nel file html a cui fa riferimento. Tale codice causa il download di un file <strong>CAB <\/strong>contenete una <strong>DLL <\/strong>con estensione .INF, per poi eseguire la decompressone del file CAB e avviare l&#8217;esecuzione della DLL, la quale recupera lo shellcode remoto, in questo caso un Beacon di <strong>Coblat Strike<\/strong>, e lo carica nel processo <strong>wabmig.exe<\/strong>. <\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/www.microsoft.com\/security\/blog\/uploads\/securityprod\/2021\/09\/Figure2-attack-chain.png\" alt=\"diagram showing attack chain of DEV-0413 campaign that used CVE-2021-40444\" loading=\"lazy\" \/><figcaption class=\"wp-element-caption\">Da:  <a href=\"https:\/\/www.microsoft.com\/security\/blog\/2021\/09\/15\/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability\/\">Analyzing attacks that exploit the CVE-2021-40444 MSHTML vulnerability | Microsoft Security Blog<\/a> <\/figcaption><\/figure>\n\n\n\n<p>Microsoft Threat Intelligence Center (<em><strong>MSTIC<\/strong><\/em>)  tiene traccia di un ampio gruppo di attivit\u00e0 criminali che coinvolgono l&#8217;infrastruttura di Cobalt Strike sotto il nome di <strong>DEV-0365<\/strong>.\u200e <\/p>\n\n\n\n<p>Tuttavia a causa delle significative differenze rispetto a DEV-0365, MSTIC ha raggruppato la campagna iniziale di e-mail che sfrutta la CVE-2021-40444 sotto <strong>DEV-0413<\/strong>.\u200e Infatti la campagna di e-mail risulta essere molto pi\u00f9 mirata rispetto ad altra campagne malware che sono state attribuite all&#8217;infrastruttura di DEV-0365. La prima campagna aveva come target alcune organizzazioni di sviluppo di applicazioni, mandando una mail per la ricerca di un nuovo sviluppatore per un&#8217;applicazione mobile.<\/p>\n\n\n\n<p>A inizio settembre \u00e8 stata osservata una seconda campagna di mail, questa volta molto meno mirata, con oggetto una minaccia legale: &#8221; small claims court &#8220;.<br>L&#8217;8 settembre \u00e8 stato divulgato pubblicamente un campione di un file che sfrutta tale vulnerabilit\u00e0. Da quel momento Microsoft ha osservato diversi attaccanti, tra cui gli affiliati di ransomware-as-a-service, adottare il codice proof-of-concept divulgato pubblicamente nei toolkit. <\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/www.microsoft.com\/security\/blog\/uploads\/securityprod\/2021\/09\/Figure5-Exploitation-attempts.png\" alt=\"Line graph showing volume of observed exploitation attempts\" loading=\"lazy\" \/><figcaption class=\"wp-element-caption\">Da:  <a href=\"https:\/\/www.microsoft.com\/security\/blog\/2021\/09\/15\/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability\/\">Analyzing attacks that exploit the CVE-2021-40444 MSHTML vulnerability | Microsoft Security Blog<\/a> <\/figcaption><\/figure>\n","protected":false},"excerpt":{"rendered":"<p>La vulnerabilit\u00e0 CVE-2021-40444\u00a0riguarda il motore\u00a0MSHTML\u00a0di Internet Explorer. <\/p>\n<p>Le prime campagne che sfruttano questa vulnerabilit\u00e0 sono state identificate ad Agosto 2021<\/p>\n","protected":false},"author":1,"featured_media":3244,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1497],"tags":[],"class_list":["post-3221","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-defence"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3221","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=3221"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3221\/revisions"}],"predecessor-version":[{"id":6017,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3221\/revisions\/6017"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=3221"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=3221"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=3221"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}