av Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 7. september 2021 ga Microsoft ut et råd om en Zero-Day-sårbarhet (CVE-2021-40444) i Microsoft MSHTML som inntrengerne aktivt utnytter gjennom Microsoft Office-dokumenter. Microsoft har sørget for midlertidige løsninger inntil en oppdatering er på plass.

Zero-Day er en ekstern sårbarhet ved kjøring av koder i MSHTML, som er Microsofts egen nettlesermotor for Internet Explorer. Inntrengere bygger inn ondsinnede ActiveX-kontrollere i Microsoft Office-dokumenter som er vert for nettleserens renderingsmotor. Ofrene trenger bare å åpne dokumentene med disse ondsinnede kontrollerne for at inntrengerne skal kunne få tilgang til nettverket.

Selv om Microsoft uttalte at Office åpner dokumenter fra Internett i Beskyttet visning eller Application Guard for Office, som begge hindrer det gjeldende angrepet, er RTF-angrepsvektoren fortsatt åpen for utnyttelse. Inntrengere kan bruke flere andre omledingsanrop for Beskyttet visning. Uansett bør administratorer sørge for at Beskyttet visning er aktivert.

Trend Micro har observert at Cobalt Strike etterlater seg spor når angriperne har utnyttet feilen. LogPoint-kunder kan lese bloggen vår omhvordan man oppdager Cobalt Strike-aktivitet i miljøet.

Oppdag utnyttelse av Zero-Day i LogPoint

Vellykket utnyttelse av Zero-Day-sårbarheten via Office-dokumenter resulterer i dannelsen av control.exe fra Office, som analytikere kan jakte på i prosesshendelsesloggene.

label="Process" label=Create
"process"="*\control.exe" parent_process IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"]-command="*\control.exe input.dll"

Administratorer kan se nærmere på mistenkelige domener som kontaktes av Office ved hjelp av Sysmons registerhendelser. LogPoint-kunder kan se grunnleggende Sysmon-konfigurasjon for å oppdage godartede og avanserte trusler.

norm_id=WindowsSysmon event_id=13
image IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"]target_object="*\EnableBHO"

Microsoft har uttalt at både Microsoft Defender Antivirus og Microsoft Defender for Endpoint oppdager skadelige filer så lenge definisjonene er oppdatert. Organisasjoner som bare bruker Microsoft Defender for endepunkt, bør sikre at de har satt sin EDR i blokkeringsmodus.

label=Threat label=Detect threat="TrojanDownloader:O97M/Donoff.SA"

Vi anbefaler administratorer å utføre IoC-sveip for å kontrollere om organisasjonene deres er utsatt.

(domain IN ["joxinu.com", "hidusi.com", "dodefoh.com", "macuwuf.com"]OR query IN ["joxinu.com", "hidusi.com", "dodefoh.com", "macuwuf.com"])

Denne alvorlige feilen krever proaktiv jakt

Det å oppdage aktivitet etter utforskning er en måte for forsvarere å oppdage mulig utnyttelse av Zero Day-sårbarheter i omgivelsene deres. Feilen er svært alvorlig, og vi forventer at angriperne kommer til å utnytte den i mange år. Siden det ennå ikke er noen tilgjengelig oppdatering, og omgåelser er tilgjengelige for begrensningene, må bedriftene være på vakt og proaktivt jakte på trusler i nettverket sitt.

Kontakt LogPoint

Ta kontakt og lær hvorfor ledende selskaper velger LogPoint:

Ta kontakt

Lær mer om LogPoint

Bestill en demo
Kundecaser
Kundeanmeldelser