攻击者绕过微软补丁传播Formbook恶意软件

近日,Sophos Labs的研究人员检测到使用一种能够绕过微软Office严重漏洞(CVE-2021-40444)补丁的新型漏洞。

攻击者利用了公开可用的Office漏洞概念验证(PoC),并将其武器化以传播Formbook恶意软件。攻击者随后通过垃圾邮件分发了大约36小时,然后它消失了。

补丁被绕过

漏洞CVE-2021-40444是一个严重的远程执行代码漏洞,攻击者可远程在目标机器上执行任何代码或命令。微软发布了紧急缓解措施,随后在9月发布了补丁。几天后,该公司分享了攻击者如何利用该漏洞来投送定制的Cobalt Strike有效载荷。

Sophos研究人员在10月下旬发现了以新的漏洞利用活跃了36小时。期间研究人员发现攻击者修改了原来的利用方法,将恶意Word文档放入特制的RAR存档,这种较新的“无CAB”形式的漏洞利用成功避开了原始补丁。

Sophos数据显示,修改后的漏洞利用程序在野外使用了大约36小时。根据研究人员的说法,更新攻击的有限生命周期可能意味着它是一个“试运行”实验,可能会在未来的事件中重启。

“理论上,这种攻击方法不应该奏效,但确实奏效了,”Sophos首席威胁研究员Andrew Brandt说。

“补丁发布前的攻击会将恶意代码打包到微软Cabinet存档文件中。当微软的补丁堵住了这个漏洞时,攻击者发现了一个概念验证,展示了如何将恶意软件打包到RAR压缩格式的文件中。以前RAR曾被使用来分发恶意代码,但在这个案例中,其利用的过程异常复杂。”

“新的漏洞利用之所以成功,可能只是因为补丁的权限定义非常狭窄,而且用户打开RAR所需的WinRAR程序具有很强的容错性,并且似乎不介意存档是否格式错误,例如,因为它已被篡改。”

感染链:留神RAR压缩文档

研究人员发现,攻击者创建了一个异常的RAR档案,其中包含一个PowerShell脚本,其中包含一个存储在档案中的恶意Word文档。

攻击者创建并分发垃圾邮件,其中包含格式错误的RAR文件作为附件。电子邮件邀请收件人解压缩RAR文件以访问Word文档。打开Word文档会触发一个运行前端脚本的进程,最终导致感染Formbook恶意软件。

Brandt说:“这项研究提醒人们,仅靠修补无法在所有情况下防范所有漏洞。”

“设置限制以防止用户意外触发恶意文档会有所帮助,但人们仍然可能会被引诱点击‘启用内容’按钮。因此,教育员工并提醒他们对通过电子邮件发送的文档保持警惕至关重要,尤其是当他们收到来自他们不认识的人或公司的不寻常或不熟悉的压缩文件格式时。如有疑问,请务必与发件人或IT人员核实。”

前一篇工具书 | 100本网络安全产品推荐名录福利大赠送!
后一篇2022年APT与工控安全威胁趋势预测