漏洞影响及其危害:未经身份验证的攻击者可以利用该漏洞在目标系统上执行代码。
Microsoft发布了一份关于此漏洞的官方公告。
这篇博客文章讨论了该漏洞如何发挥作用.。
我们已获得多个利用此漏洞的文档样本。文档包中的document.xml.rels文件中都包含以下代码:
请大家主要,存在一个URL(我们已删除),该URL下载一个名为side.html的文件(SHA-256:D0FD7ACC38B3105FACD699534242F28E45F5380FDF2EC93EA24BFBC1DC9E6)。该文件包含模糊的JavaScript,图2中的图像显示了部分未使用的代码。
在这段代码中可以看到几个动作:它下载一个.CAB文件,从所说的.CAB文件中提取一个.DLL文件,并使用路径遍历攻击来运行该文件(名为champosion.inf)。
最终,将执行champosion.inf文件,如下所示:
这个payload是Cobalt Strike的载荷(SHA-256: 6eedf45cb91f6762de4e35e36bcb03e5ad60ce9ac5a08caeb7eda035cd74762b)
EXP:
Github
https://github.com/klezVirus/CVE-2021-40444
攻击利用链:
1.打开Docx文件
2.document.xml.rels中存储了指向的恶意html网站链接
3.浏览器会自动打开网站链接
4.HTML中的JavaScript包含一个指向CAB文件的对象和一个指向INF文件的iframe.
5.CAB文件已打开,INF文件存储在%TEMP%\Low目录中
6.由于CAB中存在路径遍历(ZipSlip)漏洞,因此可以将INF存储在%TEMP%中
7.使用“.cpl:”指令打开INF文件,导致通过rundll32侧面加载INF文件
修复建议:
及时更新windows10至[1010.0.19043.1237]版本
关注公众号知柯信息安全(知柯信安)获取更多咨询
