Sophos發布新漏洞利用手法繞過 Microsoft Office (CVE-2021-40444) 修補程式的詳細資訊。SophosLabs Uncut 的最新文章《攻擊者對 40444 漏洞發動無 CAB 的測試攻擊》回報了這個發現,該文章展示攻擊者如何使用已公開的 Office 漏洞進行概念驗證並將其武器化,然後對外散播 Formbook 惡意軟體。據 Sophos 研究人員稱,攻擊者透過垃圾郵件發送惡意軟體約 36 小時,然後銷聲匿跡了。
從 CAB 進化成「無 CAB」漏洞利用
2021 年 9 月,Microsoft 發布了一個修補程式,防止攻擊者執行內嵌在 Word 文件中的惡意程式碼,該文件會下載一個包含惡意可執行檔的 Microsoft CAB 檔。Sophos 研究人員發現,攻擊者將惡意 Word 文件放在特製的 RAR 壓縮檔中來再次攻擊這個漏洞。這種新型的「無 CAB」漏洞利用成功避開了原始修補程式。
Sophos 的資料顯示,修改後的漏洞攻擊在網路上出現了約 36 小時。根據 Sophos 研究人員的說法,這個新版的攻擊時間很短,代表它可能只是「試運行」,未來可能會再出現。
Sophos 首席威脅研究員 Andrew Brandt 表示:「理論上,這種攻擊方法不應該奏效,但它確實做到了。修補程式出現前的攻擊版本是將惡意程式碼封裝在 Microsoft CAB 檔案中,當 Microsoft 的修補程式堵住這個漏洞時,攻擊者又發展了一個概念驗證,將惡意軟體包裹到不同的壓縮檔格式,例如 RAR。惡意分子以前就曾使用 RAR 來傳播惡意程式碼,但這裡的過程複雜多了。這個概念驗證之所以能成功,可能是因為修補的範圍非常狹窄,而且使用者用來開啟 RAR 的 WinRAR 程式容錯性很大,似乎不會偵測壓縮檔是否格式錯誤,例如已經被竄改了。」
感染鏈
Sophos 研究人員發現,攻擊者建立了一個有問題的 RAR 壓縮檔,其中包含一段 PowerShell 指令碼與壓縮檔中的惡意 Word 文件。
攻擊者建立並開始傳送垃圾郵件,附件就是格式錯誤的 RAR 檔。電子郵件會請收件者解壓縮 RAR 檔以讀取 Word 文件。使用者開啟 Word 文件時會觸發一個程序來執行前端指令碼,最終感染 Formbook 惡意軟體。
Brandt 說:「這項研究提醒人們,僅靠修補並無法在所有情況下防範所有漏洞。「制定禁令來防止使用者意外觸發惡意文件有幫助,但人們仍可能被誘騙點擊『啟用內容』按鈕。因此,教育員工並提醒他們對透過電子郵件傳送的文件保持警惕非常重要,尤其是郵件來自不認識的人或公司,以及附件是不尋常或不熟悉的壓縮檔格式時。如有疑問,請務必與寄件者或 IT 人員再次確認。」
CVE-2021-40444 弱點是一個嚴重的遠端程式碼執行 (RCE) 漏洞,攻擊者可以利用該漏洞在所有者不知情的情況下在目標機器上執行任何程式碼或命令。Microsoft 先發布了緊急緩解措施,隨後在 9 月發布修補程式。Sophos 研究人員在 10 月下旬發現了以新漏洞為特徵的 36 小時活動。
Sophos 端點產品將包含 “CAB-less -40444” 漏洞的武器化壓縮檔偵測為 Troj/PSDL-KP。