龙空技术网

Windows零日漏洞(CVE-2021-40444),通过Office Docs触发

SecTr安全团队 717

前言:

而今看官们对“win10缺少d3dx943dll”可能比较关心,我们都想要了解一些“win10缺少d3dx943dll”的相关内容。那么小编在网摘上收集了一些有关“win10缺少d3dx943dll””的相关文章,希望我们能喜欢,我们一起来学习一下吧!

微软披露了一个新的零日漏洞(CVE-2021-40444),该漏洞存在于Windows IE MSHTML中,影响多个版本的Windows。该漏洞目前通过恶意Office 365文档传播,需要用户打开文件才能触发漏洞。值得注意的是,默认情况下,从Internet下载的Office文档在受保护的视图或应用程序防护中打开,这两者都可以缓解这种特定的攻击。

如果攻击者能够诱使受害者下载文件并绕过任何缓解措施,则会触发该漏洞,从而利用恶意ActiveX控制来利用office 365和office 2019来在受影响的Windows 10主机上下载和安装恶意软件。目前,该漏洞被用于投递Cobalt Strike有效载荷。

这些漏洞的文档样本包中的document.xml.rels文件中都包含以下代码:

图1. 具有XML关系的代码

该代码中存在一个URL(已打码),该URL将下载名为side.html的文件(SHA-256:d0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6)。该文件包含混淆的JavaScript,图2显示了部分反混淆后的代码。

图2. 反混淆的JavaScript代码

在这段代码中可以看到几个动作:它下载一个.CAB 文件,从下载的.CAB文件中提取一个.DLL文件,并使用路径遍历攻击来运行championship.inf文件。

最终,将执行championship.inf文件,如下所示:

图3. 执行的有效载荷的属性

此有效载荷是Cobalt Strike beacon(SHA-256:6eedf45cb91f6762de4e35e36bcb03e5ad60ce9ac5a08caeb7eda035cd74762b)。与典型的Cobalt Strike一样,这可能允许攻击者控制受影响的系统。恶意Office文件被检测为Trojan.W97M.CVE202140444.A,恶意.CAB文件被检测为Trojan.Win64.COBEACON.SUZ。

目前,微软尚未发布官方补丁。因此,建议用户只打开来自可信源的附件,这可以大大降低此威胁的风险,因为该漏洞的触发需要用户交互。


IOC

Payload(.CAB)

1fb13a158aff3d258b8f62fe211fabeed03f0763b2acadbccad9e8e39969ea00

Exploited Doc

5b85dbe49b8bc1e65e01414a0508329dc41dc13c92c08a4f14c71e3044b06185

3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf

199b9e9a7533431731fbb08ff19d437de1de6533f3ebbffc1e13eeffaa4fd455

938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52

d0e1f97dbe2d0af9342e64d460527b088d85f96d38b1d1d4aa610c0987dca745

a5f55361eff96ff070818640d417d2c822f9ae1cdd7e8fa0db943f37f6494db9

Payload (.DLL)

6eedf45cb91f6762de4e35e36bcb03e5ad60ce9ac5a08caeb7eda035cd74762b

Downloaded JS

d0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6

标签: #win10缺少d3dx943dll