Sophos發布新漏洞利用手法繞過Microsoft Office(CVE-2021-40444)修補程式的詳細資訊。SophosLabs Uncut的最新文章《攻擊者對40444漏洞發動無CAB的測試攻擊》回報這個發現,該文章展示攻擊者如何使用已公開的Office漏洞進行概念驗證並將其武器化,然後對外散播Formbook惡意軟體。據Sophos研究人員稱,攻擊者透過垃圾郵件發送惡意軟體約36小時,然後銷聲匿跡了。
2021年9月,Microsoft發布一個修補程式,防止攻擊者執行內嵌在Word文件中的惡意程式碼,該文件會下載一個包含惡意可執行檔的Microsoft CAB檔。Sophos研究人員發現,攻擊者將惡意Word文件放在特製的RAR壓縮檔中來再次攻擊這個漏洞。這種新型的「無CAB」漏洞利用成功避開了原始修補程式。
Sophos的資料顯示,修改後的漏洞攻擊在網路上出現約36小時。根據Sophos研究人員的說法,這個新版的攻擊時間很短,代表它可能只是「試運行」,未來可能會再出現。
Sophos首席威脅研究員Andrew Brandt表示,理論上,這種攻擊方法不應該奏效,但它確實做到了。修補程式出現前的攻擊版本是將惡意程式碼封裝在Microsoft CAB檔案中,當Microsoft的修補程式堵住這個漏洞時,攻擊者又發展了一個概念驗證,將惡意軟體包裹到不同的壓縮檔格式,例如RAR。惡意分子以前就曾使用RAR來傳播惡意程式碼,但這裡的過程複雜多了。這個概念驗證之所以能成功,可能是因為修補的範圍非常狹窄,而且使用者用來開啟RAR的WinRAR程式容錯性很大,似乎不會偵測壓縮檔是否格式錯誤,例如已經被竄改了。
Sophos研究人員發現,攻擊者建立了一個有問題的RAR壓縮檔,其中包含一段PowerShell指令碼與壓縮檔中的惡意Word文件。
攻擊者建立並開始傳送垃圾郵件,附件就是格式錯誤的RAR檔。電子郵件會請收件者解壓縮RAR檔以讀取Word文件。使用者開啟Word文件時會觸發一個程序來執行前端指令碼,最終感染Formbook惡意軟體。
Brandt說,這項研究提醒人們,僅靠修補並無法在所有情況下防範所有漏洞。制定禁令來防止使用者意外觸發惡意文件有幫助,但人們仍可能被誘騙點擊啟用內容按鈕。因此,教育員工並提醒他們對透過電子郵件傳送的文件保持警惕非常重要,尤其是郵件來自不認識的人或公司,以及附件是不尋常或不熟悉的壓縮檔格式時。如有疑問,請務必與寄件者或IT人員再次確認。
CVE-2021-40444弱點是一個嚴重的遠端程式碼執行(RCE)漏洞,攻擊者可以利用該漏洞在所有者不知情的情況下在目標機器上執行任何程式碼或命令。Microsoft先發布緊急緩解措施,隨後在9月發布修補程式。Sophos研究人員在10月下旬發現了以新漏洞為特徵的36小時活動。
Sophos端點產品將包含“CAB-less -40444”漏洞的武器化壓縮檔偵測為Troj/PSDL-KP。