af Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 7. september 2021 udsendte Microsoft et varsel om en zero-day-sårbarhed (CVE-2021-40444) i Microsoft MSHTML, som modstanderne aktivt udnytter via Microsoft Office-dokumenter. Microsoft har sørget for midlertidige løsninger, indtil de frigiver en programrettelse.

Zero-day er en sårbarhed, der fjernudfører kode i MSHTML, som er Microsofts egenudviklede browserprogram til Internet Explorer. Modstanderne integrerer ondsindede ActiveX-controller i Microsoft Office-dokumenter, der hoster browserens rendering-program. De kompromitterede behøver kun at åbne ondsindede dokumenter, hvorefter modstanderne kan få adgang til netværket.

Selvom Microsoft har oplyst, at Office åbner dokumenter fra internettet i Beskyttet visning eller Application Guard for Office, som begge forhindrer det aktuelle angreb, er RTF-angrebsvektoren stadig åben for udnyttelse. Modstanderne kan  omgå den beskyttede visning på flere forskellige måder. Uanset hvad, skal administratorerne sikre, at Beskyttet visning er aktiveret.

Trend Micro har observeret, at Cobalt Strike-beacons leveres, efter at angriberne har udnyttet fejlen. LogPoint-kunder kan se vores blog om identifikation af Cobalt Strike-aktivitet i deres miljø.

Identifikation af udnyttelse af zero-day i LogPoint

Når udnyttelsen af zero-day-sårbarheden via Office-dokumenter lykkes, resulterer det i, at Office opretter control.exe , som analytikere kan søge efter i processkabende hændelser.

label="Process" label=Create
"process"="*\control.exe" parent_process IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"]-command="*\control.exe input.dll"

Administratorer kan se nærmere på mistænkelige domæner, der er blevet kontaktet af Office ved hjælp af Sysmons registreringsdatabasehændelser. LogPoint-kunder kan se vores grundlæggende systemkonfiguration for at få hjælp til at identificere godartede og avancerede trusler.

norm_id=WindowsSysmon event_id=13
image IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"]target_object="*\EnableBHO"

Microsoft har oplyst, at både Microsoft Defender Antivirus og Microsoft Defender for Endpoint identificerer ondsindede filer, så længe definitionerne er opdaterede. Organisationer, der kun bruger Microsoft Defender for Endpoint, skal sikre, at de har sat deres EDR i blokeringstilstand.

label=Threat label=Detect threat="TrojanDownloader:O97M/Donoff.SA"

Vi råder administratorer til at udføre en IoC-sweep for hele virksomheden for at kontrollere, om deres organisationer er blevet ramt.

(domain IN ["joxinu.com", "hidusi.com", "dodefoh.com", "macuwuf.com"]OR query IN ["joxinu.com", "hidusi.com", "dodefoh.com", "macuwuf.com"])

Den alvorlige fejl kræver proaktiv jagt

Identifikation af aktivitet efter en udnyttelse er en af de måder, hvorpå det er muligt at opdage en mulig udnyttelse af zero-day-sårbarheder i ens miljø. Fejlen er meget alvorlig, og vi forventer, at angriberne vil bruge den i mange år. Da der endnu ikke er nogen programrettelser til rådighed, med det blot er muligt at afbøde fejlen, er det vigtigt at virksomhedernes sikkerhedsmedarbejdere forbliver årvågne og proaktivt identificerer trusler i deres netværk.

Kontakt LogPoint

Kontakt os og lær hvorfor markedsledende firmaer vælger LogPoint:

Kontakt LogPoint

Få mere at vide om LogPoint

Book en demo
Kundehistorier
Kundeanmeldelser