CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(一)

最新推荐文章于 2024-01-23 12:20:22 发布
转载 最新推荐文章于 2024-01-23 12:20:22 发布 · 613 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s/6q9fbggpkhd4PtwnghvZgg
文章标签:

#microsoft #安全

声明

出品|且听安全(ID: QCyber)
===================

以下内容,来自且听安全公众号的作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

漏洞概述

2021年9月8日,微软发布安全通告,披露了Microsoft MSHTML远程代码执行漏洞,攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的 Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。

CVE-2021-40444

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

完整的攻击流程借用了微软分析文章里面的图:

Microsoft Security Blog

https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/在这里插入图片描述

快速样本分析

在恶意样本在线查询网站下载到样本

938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52.zip

样本的MD5值为:

1d2094ce85d66878ee079185e2761beb。可以看到该样本早在9月2号就被该网站收录了。

注意该网站的样本解压密码为:

infected解压后可以得到一个docx文件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-As1gqMDz-1655342874485)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rKPlhYZnEH5yT3Up7ibCFCPRM8Lx53G8iadkMb9olkqmnwtzTU7fFPibtA/640?wx_fmt=png)]

熟悉的小伙伴都知道,docx文件其实就是一个zip压缩包,使用7zip等解压软件能够轻松将其解压出来:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0B4ws2Zg-1655342874486)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0riasA3oeQrK1AsdZWqVD93u1CdLy8maravQlstPfIzeRIxX5Megn6cZg/640?wx_fmt=png)]

通过简单浏览,很快就能发现一个可疑的文件:

word\_rels\document.xml.rels,其中有个可疑的下载链接:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bkZUKj2P-1655342874486)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rs414VtLNHWeZn7HeIlS52lnuFicb4I9Cazmkm9Xhr5Dbh5PjmT9cr7Q/640?wx_fmt=png)]

尝试去下载该side.html文件,发现服务器无法访问了,经验证h****.com这个域名已经失效:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dBEhPSw3-1655342874486)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rrEhx18ACHH8CoGHY3NGKP0mR7EwpHTzRLKwGymxdFt5ajRaGXDFAPA/640?wx_fmt=png)]

尝试通过网络搜索该域名信息,可以找到域名对应的真实IP2:3.106.***.***

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4j4bLluj-1655342874487)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0r5mDQxxJcYmkoVEO5XKV0dibern8GTE3JOF3LJiciaZsbhUDby1FxTccFQ/640?wx_fmt=png)]

抱着试试看的心情,用该IP来尝试下载,居然成功下载到可疑的html页面:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qwQ6MHj4-1655342874487)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0r8R8cdozIzvFibglXCcwtef68ApR0Fvh7gz0Nd9IVibrGSn2WbpGibFf9w/640?wx_fmt=png)]

那就接着看一个这个神秘的html文件,发现文件中有一段更神秘的javascript代码:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FcnXFsG8-1655342874488)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rMapZLrIjjTdFTB6naSumzUT0x6u0LaJxxebWKhFYBcDoh1R64wZdCg/640?wx_fmt=png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-d2Bpl8Gv-1655342874488)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rgcL63Bfjd9XKIJHVibD4qczKiaibCBJZxspcBw5cn4RpcDcSrZEAsvp5A/640?wx_fmt=png)]

简单浏览side.html里面的javascript代码,又发现了一个可疑的下载链接http://hi***.com/e8c76295a5f9acb7/ministry.cab:

在这里插入图片描述

javascript代码明显是经过某种混淆后的结果,幸好代码不算复杂,我们通过vscode的js插件先将代码整理一下,最终通过手动分析和去混淆后可以得到如下的代码:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fHzbraTV-1655342874489)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rMAXtMPXjGLgboyX2q9rTts8maDA3IH8RLWje4I5L3PCKY4ZafoELQg/640?wx_fmt=png)]

这段代码功能大概就是先利用XMLHttpRequest对象下载ministry.cab文件(这个地方可能是多余的,后面ActiveX也能实现下载),然后利用ActiveX控件自动从网络下载安装ministry.cab。

最后利用Control Panel objects (.cpl)来执行championship.inf文件(该文件暂时不知道从哪里来的),直接通过IP地址将ministry.cab下载回来:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Wl2Xvw3j-1655342874489)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rYZ1F1QyzKXAOkyn16cer412ayULWaRW6iafefokicjVYibF8sJIIaq34g/640?wx_fmt=png)]

接着分析这个ministry.cab文件,可以看到确实是微软的cab文件,尝试用cabextract解压发生错误(起初以为文件被破坏了,后来才知道这个异常却是漏洞利用的关键):

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5bxgFNCe-1655342874490)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0ricZr2lbwYy2UNOyTGYXz0tDIQicHkXSibibWs1IkgjKvydauAdAj7QHowg/640?wx_fmt=png)]

不过该cab文件中确实有champion-ship.inf这个文件,这就与javascript代码对上了。

这样整个样本的快速分析基本就到这里了,这里再理一下样本的利用思路:

  1. 发送恶意docx文件给用户点开

  2. docx文件利用OleObject对象实现下载并解析side.html

  3. side.html利用ActiveX控件实现下载ministry.cab,并释放championship.inf文件

  4. 最后利用Control Panel objects (.cpl)来执行championship.inf文件

好了,样本分析就到这里了,下一篇我们将进行漏洞复现和漏洞分析。关注我,不迷路!

参考

  1. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

  2. https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/

CVE-2021-40444分析报告微软MHTML远程命令执行漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-02 1502
CVE-2021-40444漏洞概述.2021 年 8 月 21 日,MSTIC 观察到名 Mandiant 员工在社交媒体上发布的帖子,该员工具有跟踪 Cobalt Strike Beacon 基础设施的经验。所写文章重点介绍了个于 2021 年 8 月 19 日上传到 VirusTotal的 Microsoft Word 文档(SHA-256:3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf)。 MSTIC 对样本进行了
Microsoft MSHTML远程代码执行(CVE-2021-40444)
huayimy的博客
02-03 427
Microsoft MSHTML远程代码执行(CVE-2021-40444).攻击者利用该漏洞,通过精心构造包含可被加载的恶意 ActiveX控件的Microsoft Office文件,并诱导受害者打开文档,从而触发此漏洞。未经身份验证的攻击者利用该漏洞,可获得受害者的当前用户权限,以该用户权限执行任意代码。打开后,靶机计算器被成功调用,至此漏洞利用成功。
最新系统漏洞--Microsoft Windows MSHTML Platform远程代码执行漏洞
weixin_48555088的博客
10-25 439
最新系统漏洞2021年10月25日 受影响系统: Microsoft Windows Server 2019 Microsoft Windows Server 2016 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2008 R2 for x64-based S Microsoft Windows Server 2008 for x64-based Syst Microsoft
安全漏洞】深入剖析CVE-2021-40444-Cabless利用链
HBohan的博客
02-27 773
本文主要分析CVE-2021-40444的Cabless利用链中存在的路径问题以及对之前技术研判内容进行补充。通过分析CVE-2021-40444新利用链,可以看到该漏洞的根本原因是Office文档可以通过MHTML协议请求访问远程HTML页面从而执行JavaScript代码,并最终通过Url Scheme启动本地应用程序执行投递的恶意代码,而中间投递恶意代码的方式是可以替换的。
Microsoft mshtml
10-27
Microsoft mshtml
漏洞复现|CVE-2021-40444Microsoft MSHTML 远程代码执行漏洞
weixin_42282189的博客
09-24 1559
作者:墨阳 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 微软MSHTML引擎存在代码执行漏洞,攻击者通过精心制作包含恶意ActiveX的Offcie文档,诱导用户打开,从而实现远程代码执行。当用户主机启用了ActiveX控件,攻击者可通过该漏洞控制受害者主机。 目前,该漏洞EXP已公开,微软官方公布已检测到在野利用,已发布修复补丁。 影响范围: Windows Server, version 20H2 (Server Core Installation) .
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(三)
include_voidmain的博客
06-30 675
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(三)
利用CVE-2021-40444漏洞钓鱼执法上线MSF
include_voidmain的博客
03-31 3492
0x01 漏洞描述 2021年9月8日,微软官方发布了关于MSHTML组件的风险通告(漏洞编号:CVE-2021-40444),未经身份验证的攻击者可以利用该漏洞在目标系统上远程执行代码。微软官方表示已经监测到该漏洞存在在野利用。 Microsoft 发现,存在尝试通过特别设计的 Microsoft Office 文档利用此漏洞的针对性攻击。攻击者可制作个由托管浏览器呈现引擎的 Microsoft Office 文档使用的恶意 ActiveX 控件。然后,攻击者必须诱使用户打开此恶意文件。 0x02 漏洞
CVE-2021-40444 0 day漏洞利用
HBohan的博客
09-13 4756
9月7日,微软发布安全公告称发现Windows IE MSHTML中的远程代码执行漏洞CVE编号为CVE-2021-40444。由于未发布漏洞补丁,微软只称该漏洞可以利用恶意ActiveX控制来利用office 365和office 2019来在受影响的Windows 10主机上下载和安装恶意软件。 随后,研究人员发现有攻击活动使用该恶意word文档,即该漏洞的0 day在野利用。 当office打开个文档后,会检查是否标记为"Mark of the Web" (MoTW),这表示它来源于互联网。如
CVE-2021-40444:Windows MSHTML 0day漏洞利用
HBohan的博客
09-11 1087
研究人员发现Windows MSHTML 0day漏洞利用,微软发布预防措施。 近日,多个安全研究人员向微软分别报告了MSHTML中的个0 day远程代码执行漏洞。并发现了该漏洞的在野利用攻击活动。 MSHTML是Windows中用来渲染web页面的软件组件。虽然主要与IE相关,但也用于其他版本,包括Skype、Outlook、Visual Studio等。 CVE-2021-40444 研究人员在MSHTML中发现的0 day漏洞CVE编号为CVE-2021-40444,cvss评分为8.8分。由于MS
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(二)
include_voidmain的博客
06-30 384
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(二)
RCE高危漏洞预警:CVE-2021-40444简要分析
「鸿渐之翼」的博客
09-24 2383
漏洞影响及其危害:未经身份验证的攻击者可以利用该漏洞在目标系统上执行代码。 Microsoft发布了份关于此漏洞的官方公告。 这篇博客文章讨论了该漏洞如何发挥作用.。 我们已获得多个利用此漏洞的文档样本。文档包中的document.xml.rels文件中都包含以下代码: 请大家主要,存在个URL(我们已删除),该URL下载个名为side.html的文件(SHA-256:D0FD7ACC38B3105FACD699534242F28E45F5380FDF2EC93EA24BFBC1DC9E6)。该文件
Microsoft.mshtml到底是什么?
weixin_34075551的博客
12-31 166
链接:http://waxdoll.cnblogs.com/archive/2005/04/08/134196.html 转载于:https://www.cnblogs.com/asyuras/archive/2005/12/31/308716.html
cve
王嘟嘟的博客
01-10 969
cve编号 时间 备注 cve-2018-20680 2019-01-09 2018年末提交的现在才通过 CVE-2018-20520 2018-12-27 CVE-2018-20448 2018-12-25 cve-2018-20680 CVE-2018-20520 CVE-2018-20448 ...
CWE、CVE
最新发布
weixin_45626840的博客
01-23 1182
关于CVE是什么,前辈已经阐述得很详细通透,这里不再赘述或生产些垃圾信息,CVE公共漏洞和暴露的学习标识某个漏洞cve ID标识漏洞,那么所有CVE就是漏洞字典关于CVE项目的来历,官网有简单的介绍。
「 网络安全常用术语解读 」通用漏洞披露CVE详解
热门推荐
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-04 1万+
CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有个唯CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少个参考)。当前CVE累计收录了19万+个安全漏洞
CVE是什么?
qzt961003的博客
07-21 2474
CVE的相关基础知识
Winform下的HTMLEditor引用Microsoft.mshtml的注意事项
Mars Huang
05-19 2894
最近做了个winform下的htmleditor,引用了Microsoft.mshtml,在本地运行没有问题(有装VS),但发到测试(没装VS,只有运行库),结果界面不出来了,搞了好久,在网上了些文章,现在整理下:    以个人本机为例,总结了下,mshtml的问题处理方式如下:       1. C:\WINDOWS\system32\mshtml.dll 为win32下的调
CVE网址
haichunzhao的专栏
05-14 1238
http://cve.mitre.org/
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值