微软披露了一个新的零日漏洞（CVE-2021-40444），该漏洞存在于Windows IE MSHTML中，影响多个版本的Windows。该漏洞目前通过恶意Office 365文档传播，需要用户打开文件才能触发漏洞。值得注意的是，默认情况下，从Internet下载的Office文档在受保护的视图或应用程序防护中打开，这两者都可以缓解这种特定的攻击。

如果攻击者能够诱使受害者下载文件并绕过任何缓解措施，则会触发该漏洞，从而利用恶意ActiveX控制来利用office 365和office 2019来在受影响的Windows 10主机上下载和安装恶意软件。目前，该漏洞被用于投递Cobalt Strike有效载荷。

这些漏洞的文档样本包中的document.xml.rels文件中都包含以下代码：

图1. 具有XML关系的代码

该代码中存在一个URL(已打码)，该URL将下载名为side.html的文件（SHA-256：d0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6）。该文件包含混淆的JavaScript，图2显示了部分反混淆后的代码。

图2. 反混淆的JavaScript代码

在这段代码中可以看到几个动作：它下载一个.CAB 文件，从下载的.CAB文件中提取一个.DLL文件，并使用路径遍历攻击来运行championship.inf文件。

最终，将执行championship.inf文件，如下所示：

图3. 执行的有效载荷的属性

此有效载荷是Cobalt Strike beacon（SHA-256：6eedf45cb91f6762de4e35e36bcb03e5ad60ce9ac5a08caeb7eda035cd74762b）。与典型的Cobalt Strike一样，这可能允许攻击者控制受影响的系统。恶意Office文件被检测为Trojan.W97M.CVE202140444.A，恶意.CAB文件被检测为Trojan.Win64.COBEACON.SUZ。

目前，微软尚未发布官方补丁。因此，建议用户只打开来自可信源的附件，这可以大大降低此威胁的风险，因为该漏洞的触发需要用户交互。

IOC

Payload(.CAB)

1fb13a158aff3d258b8f62fe211fabeed03f0763b2acadbccad9e8e39969ea00

Exploited Doc

5b85dbe49b8bc1e65e01414a0508329dc41dc13c92c08a4f14c71e3044b06185

3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf

199b9e9a7533431731fbb08ff19d437de1de6533f3ebbffc1e13eeffaa4fd455

938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52

d0e1f97dbe2d0af9342e64d460527b088d85f96d38b1d1d4aa610c0987dca745

a5f55361eff96ff070818640d417d2c822f9ae1cdd7e8fa0db943f37f6494db9

Payload (.DLL)

6eedf45cb91f6762de4e35e36bcb03e5ad60ce9ac5a08caeb7eda035cd74762b

Downloaded JS

d0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6