攻击者可以制作带有恶意ActiveX控件的网站,根据网站的访问地址构造恶意Office文档,和.cab文件,在受害者打开该文档时,Office通过MSHTML加载恶意ActiveX控件,下载恶意.cab文件,解压并执行攻击者的恶意代码。
| 漏洞细节 |
漏洞POC |
漏洞EXP |
在野利用 |
| 有 | 有 | 有 | 有 |
| 漏洞名称 |
Microsoft MSHTML远程命令执行漏洞 |
| CVE编号 | CVE-2021-40444 |
| 漏洞类型 | 任意代码执行 |
| 漏洞等级 | 7.8高危(High) |
| 公开状态 | 公开 |
| 漏洞描述 |
通过MSHTML访问某些网页时,可通过特殊构造的.cab文件远程执行代码。 |
| 时间线 | 2021-9-2 CVE发布 |
| 受影响版本 |
未安装相关补丁的 |
通过PoC复现漏洞,使用exploit.py生成恶意docx文件。同时启动http服务。
将恶意文档拷贝至靶机上运行,文档内只存在无法正常显示的内容,然后弹出计算器。
分析漏洞触发过程,文档在打开时,WINWORD.EXE通过control .cpl的方式,使用rundll32加载msword.ini,启动calc.exe。
WINWORD以mshtml的方式,访问攻击机192.168.0.139内的word.html
msword.inf本质上为.dll文件,使用control .cpl的方式运行后,会通过rundll32.exe加载,成功时弹出计算器。
根据调用栈,可以看到winword.exe写入被调用的msword.inf文件时的函数调用关系。
正常情况下,.inf文件会被释放在类似于” C:UsersadminAppDataLocalTempcabAE2A”的随机目录下,很难被准确的通过路径执行。
但该漏洞可以稳定将.inf文件释放在”cabxxxx”目录的上层目录,达到可以稳定执行该文件的目的。
在word.cab文件内,传入的文件名为”../msword.inf”。
在cab文件在解析后,在fdiNotifyExtract函数内拼接目录,最终调用Win32Open创建文件。
该漏洞已经发布补丁,通过在catDirAndFile内,将”/”转换为”\”,对漏洞进行了修复。
可以按照微软给出的缓解措施进行操作,禁用ActiveX。
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-40444
或根据系统安装相应补丁,如win10安装汇总补丁KB5005565
获取更多情报联系我们,获取更多漏洞情报详情及处置建议,让企业远离漏洞威胁。
电话:18511745601
漏洞分析回顾
北京安帝科技有限公司是新兴的工业网络安全能力供应商,专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索,基于网络空间行为学理论及工业网络系统安全工程方法,围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势,为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展,坚持产品体系的自主可控,全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。
点击“在看”鼓励一下吧
原文始发于微信公众号(安帝Andisec):CVE-2021-40444 Microsoft MSHTML远程命令执行漏洞
