Atklāta kritiska Microsoft ievainojamība MSHTML (CVE-2021-40444)

[Papildināts 21.09.2021]

Microsoft savā ikmēneša "Ielāpu otrdienā" publicējis vairāk nekā 60 drošības atjauninājumus, kas novērš vairākas kritiskas un svarīgas ievainojamības, to vidū arī zemāk aprakstīto "nulles dienas" MSHTML platformas ievainojamību (CVE-2021-40444).

CERT.LV aicina iestādes un uzņēmumus arī Latvijā apzināt apdraudētās iekārtas un pārliecināties, ka ir uzstādīti pēdējie atjauninājumi.

Vairāk par Microsoft publicētajiem drošības atjauninājumiem: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
 

[Oriģinālā ziņa 13.09.2021]

Atklāta kritiska ievainojamība MSHTML (CVE-2021-40444), kas ļauj veikt attālinātu koda izpildi (RCE) uz Mircosoft Windows iekārtām.

Lai šo ievainojamību izmantotu, ļaundarim ir nepieciešams speciāli sagatavot vai nu Microsoft Office dokumentu, vai  arī .rtf dokumentu, uz kuru neattieksies, piemēram, Protected View, jo RTF nav MS Offices sastāvdaļa, bet ir iebūvēts Windows.

Ievainojamība var veiksmīgi nostrādāt arī tad, ja ir ieslēgta datņu priekšskatīšana (file preview) - tādā gadījumā nav jāver vaļā pats dokuments, pietiek ar to, ka ir uzklikšķināts uz faila pašā File Explorer.
 

Ieteikumi šīs ievainojamības ietekmes mazināšanai:

• Windows Defender vai cits antivīruss / EDR risinājums un pārliecināmies, ka ir ieslēgti automātiski atjauninājumi
• Atslēgt ActiveX
• Izslēgt File Explorer funkciju datņu priekšskatīšanai (file preview)
• ASR (Attack Surface Reduction) "Prevent Office creating child process": https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules?view=o365-worldwide#block-all-office-applications-from-creating-child-processes
• Office Protected view: https://support.microsoft.com/en-us/topic/what-is-protected-view-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653

Detalizētāk par pašu ievainojamību un kā uzstādīt iepriekš minētos ieteikumus ietekmes mazināšanai (uz šo brīdi Microsoft nav pieejami atjauninājumi, kas šo ievainojamību novērstu!): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

Indikatori, kas varētu liecināt par mēģinājumiem šo ievainojamību izmantot:

1) WINWORD.EXE vai powerpnt.exe, vai excel.exe palaiž šādus procesus: mshtml.dll (C:\Windows\System32\mshtml.dll) un jscript9.dll

2) Reģistrā izveidotas jaunas vērtības (value) komunikācijai ar C2 t.i. pārbaudīt "Server Cache" ierakstus reģistrā: HKU\...\SOFTWARE\Microsoft\Office\16.0\Common\Internet\Server Cache\http://xxx

HKU\S-1-5-21-3767891039-726334793-2222192983-1001\SOFTWARE\Microsoft\Office\16.0\Common\Internet\Server Cache\http://xxx\EnableBHO

Izveidotas no procesa: C:\Program Files\Microsoft Office\Office16\WINWORD.EXE vai powerpnt.exe, vai excel.exe

3) *\word_dat\word\_rels\document.xml.rels - mhtml

4) Ja winword.exe vai powerpnt.exe vai excel.exe kā child procesu palaiž  control.exe (ar izņēmumiem) - skatīt jau gatavo Sigma rule var šeit: https://github.com/SigmaHQ/sigma/pull/2003/files

--------------------------------

http[:]//pawevi[.]com

http[:]//hidusi[.]com

http[:]//dodefoh[.]com

http[:]//joxinu[.]com

45.147.229[.]242

104.194.10[.]21