av Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 7 september 2021 släppte Microsoft en rekommendation om en zero-day-sårbarhet (CVE-2021-40444) i Microsoft MSHTML som angripare redan aktivt utnyttjar genom Microsoft Office-dokument. Microsoft har tillhandahållit tillfälliga lösningar tills de släpper en patch.

Zero-day-sårbarheten är en sårbarhet i fjärrkodsexekveringen i MSHTML, som är Microsofts egenutvecklade webbläsarmotor för Internet Explorer. Angripare bäddar in skadliga ActiveX-kontroller i Microsoft Office-dokument som fungerar som värdar för webbläsarens renderingsmotor. Offren behöver bara öppna de skadliga dokumenten för att angripare ska kunna få åtkomst till nätverket.

Trots att Microsoft har uppgivit att Office öppnar dokument från internet i Protected View eller Application Guard for Office, som båda förhindrar den aktuella attacken, är RTF-attackvektorn fortfarande öppen för exploatering. Angripare kan använda flera andra sätt att kringgå Protected View. Administratörer bör dock säkerställa att Protected View har aktiverats.

Trend Micro har observerat att Cobalt Strike-beacons levereras efter att angripare har utnyttjat sårbarheten. LogPoint-kunder kan hänvisa till vår blogg om identifiering av Cobalt Strike-aktiviteter i deras miljö.

Identifiera exploatering av zero-day-sårbarheten i LogPoint

Framgångsrik exploatering av zero-day-sårbarheten via Office-dokument resulterar i att Office genererar control.exe  som analytiker kan söka efter i Windows processkapande händelser.

label="Process" label=Create
"process"="*\control.exe" parent_process IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"]-command="*\control.exe input.dll"

Administratörer kan ta en närmare titt på misstänkta domäner som Office har kontaktat med hjälp av Sysmons registerhändelser. LogPoint-kunder kan hänvisa till vår grundläggande sysmon-konfiguration för att identifiera såväl ofarliga som avancerade hot.

norm_id=WindowsSysmon event_id=13
image IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"]target_object="*\EnableBHO"

Microsoft har uppgett att både Microsoft Defender Antivirus och Microsoft Defender for Endpoint upptäcker skadliga filer förutsatt att definitionerna är uppdaterade. Organisationer som endast använder Microsoft Defender för Endpoint bör säkerställa att de har satt EDR i blockeringsläge.

label=Threat label=Detect threat="TrojanDownloader:O97M/Donoff.SA"

Vi rekommenderar att administratörer utför en företagsomspännande IoC-sökning för att kontrollera om deras organisationer har blivit angripna.

(domain IN ["joxinu.com", "hidusi.com", "dodefoh.com", "macuwuf.com"]OR query IN ["joxinu.com", "hidusi.com", "dodefoh.com", "macuwuf.com"])

Denna allvarliga sårbarhet kräver proaktiv sökning

Att upptäcka aktiviteter efter ett lyckat intrång är ett sätt för försvarare att upptäcka möjlig exploatering av zero-day-sårbarheter i deras miljö. Sårbarheten är mycket allvarlig och vi förväntar oss att angripare kommer att använda den i stor utsträckning under många år. Eftersom det ännu inte finns någon patch tillgänglig och det finns sätt att kringgå säkerhetsåtgärder, måste företagets försvarare vara vaksamma och proaktivt söka efter hot i sina nätverk.

Kontakta LogPoint

Kontakta oss och ta reda på varför ledande varumärken väljer LogPoint:

Kom i kontakt med oss

Läs mer om LogPoint

Boka en LogPoint-demo
Kundfall
Kundrecensioner