CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(一)

最新推荐文章于 2022-11-02 09:41:14 发布
最新推荐文章于 2022-11-02 09:41:14 发布
阅读量457 收藏 2
点赞数
分类专栏: 漏洞分析及复现 文章标签: microsoft 安全
原文链接:https://mp.weixin.qq.com/s/6q9fbggpkhd4PtwnghvZgg
版权

声明

出品|且听安全(ID: QCyber)
===================

以下内容,来自且听安全公众号的作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

漏洞概述

2021年9月8日,微软发布安全通告,披露了Microsoft MSHTML远程代码执行漏洞,攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的 Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。

CVE-2021-40444

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

完整的攻击流程借用了微软分析文章里面的图:

Microsoft Security Blog

https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/在这里插入图片描述

快速样本分析

在恶意样本在线查询网站下载到样本

938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52.zip

样本的MD5值为:

1d2094ce85d66878ee079185e2761beb。可以看到该样本早在9月2号就被该网站收录了。

注意该网站的样本解压密码为:

infected解压后可以得到一个docx文件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-As1gqMDz-1655342874485)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rKPlhYZnEH5yT3Up7ibCFCPRM8Lx53G8iadkMb9olkqmnwtzTU7fFPibtA/640?wx_fmt=png)]

熟悉的小伙伴都知道,docx文件其实就是一个zip压缩包,使用7zip等解压软件能够轻松将其解压出来:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0B4ws2Zg-1655342874486)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0riasA3oeQrK1AsdZWqVD93u1CdLy8maravQlstPfIzeRIxX5Megn6cZg/640?wx_fmt=png)]

通过简单浏览,很快就能发现一个可疑的文件:

word\_rels\document.xml.rels,其中有个可疑的下载链接:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bkZUKj2P-1655342874486)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rs414VtLNHWeZn7HeIlS52lnuFicb4I9Cazmkm9Xhr5Dbh5PjmT9cr7Q/640?wx_fmt=png)]

尝试去下载该side.html文件,发现服务器无法访问了,经验证h****.com这个域名已经失效:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dBEhPSw3-1655342874486)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rrEhx18ACHH8CoGHY3NGKP0mR7EwpHTzRLKwGymxdFt5ajRaGXDFAPA/640?wx_fmt=png)]

尝试通过网络搜索该域名信息,可以找到域名对应的真实IP2:3.106.***.***

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4j4bLluj-1655342874487)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0r5mDQxxJcYmkoVEO5XKV0dibern8GTE3JOF3LJiciaZsbhUDby1FxTccFQ/640?wx_fmt=png)]

抱着试试看的心情,用该IP来尝试下载,居然成功下载到可疑的html页面:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qwQ6MHj4-1655342874487)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0r8R8cdozIzvFibglXCcwtef68ApR0Fvh7gz0Nd9IVibrGSn2WbpGibFf9w/640?wx_fmt=png)]

那就接着看一个这个神秘的html文件,发现文件中有一段更神秘的javascript代码:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FcnXFsG8-1655342874488)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rMapZLrIjjTdFTB6naSumzUT0x6u0LaJxxebWKhFYBcDoh1R64wZdCg/640?wx_fmt=png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-d2Bpl8Gv-1655342874488)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rgcL63Bfjd9XKIJHVibD4qczKiaibCBJZxspcBw5cn4RpcDcSrZEAsvp5A/640?wx_fmt=png)]

简单浏览side.html里面的javascript代码,又发现了一个可疑的下载链接http://hi***.com/e8c76295a5f9acb7/ministry.cab:

在这里插入图片描述

javascript代码明显是经过某种混淆后的结果,幸好代码不算复杂,我们通过vscode的js插件先将代码整理一下,最终通过手动分析和去混淆后可以得到如下的代码:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fHzbraTV-1655342874489)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rMAXtMPXjGLgboyX2q9rTts8maDA3IH8RLWje4I5L3PCKY4ZafoELQg/640?wx_fmt=png)]

这段代码功能大概就是先利用XMLHttpRequest对象下载ministry.cab文件(这个地方可能是多余的,后面ActiveX也能实现下载),然后利用ActiveX控件自动从网络下载安装ministry.cab。

最后利用Control Panel objects (.cpl)来执行championship.inf文件(该文件暂时不知道从哪里来的),直接通过IP地址将ministry.cab下载回来:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Wl2Xvw3j-1655342874489)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rYZ1F1QyzKXAOkyn16cer412ayULWaRW6iafefokicjVYibF8sJIIaq34g/640?wx_fmt=png)]

接着分析这个ministry.cab文件,可以看到确实是微软的cab文件,尝试用cabextract解压发生错误(起初以为文件被破坏了,后来才知道这个异常却是漏洞利用的关键):

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5bxgFNCe-1655342874490)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0ricZr2lbwYy2UNOyTGYXz0tDIQicHkXSibibWs1IkgjKvydauAdAj7QHowg/640?wx_fmt=png)]

不过该cab文件中确实有champion-ship.inf这个文件,这就与javascript代码对上了。

这样整个样本的快速分析基本就到这里了,这里再理一下样本的利用思路:

  1. 发送恶意docx文件给用户点开

  2. docx文件利用OleObject对象实现下载并解析side.html

  3. side.html利用ActiveX控件实现下载ministry.cab,并释放championship.inf文件

  4. 最后利用Control Panel objects (.cpl)来执行championship.inf文件

好了,样本分析就到这里了,下一篇我们将进行漏洞复现和漏洞分析。关注我,不迷路!

参考

  1. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

  2. https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/

长白山攻防实验室
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
安全漏洞】深入剖析CVE-2021-40444-Cabless利用链
HBohan的博客
02-27 633
本文主要分析CVE-2021-40444的Cabless利用链中存在的路径问题以及对之前技术研判内容进行补充。通过分析CVE-2021-40444新利用链,可以看到该漏洞的根本原因是Office文档可以通过MHTML协议请求访问远程HTML页面从而执行JavaScript代码,并最终通过Url Scheme启动本地应用程序执行投递的恶意代码,而中间投递恶意代码的方式是可以替换的。
漏洞复现|CVE-2021-40444Microsoft MSHTML 远程代码执行漏洞
weixin_42282189的博客
09-24 1285
作者:墨阳 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 微软MSHTML引擎存在代码执行漏洞,攻击者通过精心制作包含恶意ActiveX的Offcie文档,诱导用户打开,从而实现远程代码执行。当用户主机启用了ActiveX控件,攻击者可通过该漏洞控制受害者主机。 目前,该漏洞EXP已公开,微软官方公布已检测到在野利用,已发布修复补丁。 影响范围: Windows Server, version 20H2 (Server Core Installation) .
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(三)
include_voidmain的博客
06-30 537
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(三)
最新系统漏洞--Microsoft Windows MSHTML Platform远程代码执行漏洞
weixin_48555088的博客
10-25 358
最新系统漏洞2021年10月25日 受影响系统: Microsoft Windows Server 2019 Microsoft Windows Server 2016 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2008 R2 for x64-based S Microsoft Windows Server 2008 for x64-based Syst Microsoft
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(二)
include_voidmain的博客
06-30 282
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(二)
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
apache stucts 2远程命令执行漏洞 (CVE-2021-31805) poc检测工具
04-21
检测一个url命令为 python3 CVE-2022-22954-POC.py -u http://test.com 检测多个url命令为 python3 CVE-2022-22954-POC.py -f file.txt(把url按一行一个保存到file.txt中) 结果有可能如下
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
然而,2021 年底,Log4j 发现了一个严重的安全漏洞,被称为 CVE-2021-44228(也称为 Log4Shell),这使得攻击者可以通过在日志记录中注入恶意代码来远程执行任意代码,从而对受影响的系统造成严重威胁。 此漏洞源于...
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行.md
04-23
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行
Microsoft mshtml
10-27
Microsoft mshtml
CVE-2021-40444分析报告微软MHTML远程命令执行漏洞
最新发布
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-02 1311
CVE-2021-40444漏洞概述.2021 年 8 月 21 日,MSTIC 观察到一名 Mandiant 员工在社交媒体上发布的帖子,该员工具有跟踪 Cobalt Strike Beacon 基础设施的经验。所写文章重点介绍了一个于 2021 年 8 月 19 日上传到 VirusTotal的 Microsoft Word 文档(SHA-256:3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf)。 MSTIC 对样本进行了
RCE高危漏洞预警:CVE-2021-40444简要分析
「鸿渐之翼」的博客
09-24 2120
漏洞影响及其危害:未经身份验证的攻击者可以利用该漏洞在目标系统上执行代码。 Microsoft发布了一份关于此漏洞的官方公告。 这篇博客文章讨论了该漏洞如何发挥作用.。 我们已获得多个利用此漏洞的文档样本。文档包中的document.xml.rels文件中都包含以下代码: 请大家主要,存在一个URL(我们已删除),该URL下载一个名为side.html的文件(SHA-256:D0FD7ACC38B3105FACD699534242F28E45F5380FDF2EC93EA24BFBC1DC9E6)。该文件
利用CVE-2021-40444漏洞钓鱼执法上线MSF
include_voidmain的博客
03-31 3273
0x01 漏洞描述 2021年9月8日,微软官方发布了关于MSHTML组件的风险通告(漏洞编号:CVE-2021-40444),未经身份验证的攻击者可以利用该漏洞在目标系统上远程执行代码。微软官方表示已经监测到该漏洞存在在野利用。 Microsoft 发现,存在尝试通过特别设计的 Microsoft Office 文档利用此漏洞的针对性攻击。攻击者可制作一个由托管浏览器呈现引擎的 Microsoft Office 文档使用的恶意 ActiveX 控件。然后,攻击者必须诱使用户打开此恶意文件。 0x02 漏洞
Microsoft.mshtml到底是什么?
weixin_34075551的博客
12-31 117
链接:http://waxdoll.cnblogs.com/archive/2005/04/08/134196.html 转载于:https://www.cnblogs.com/asyuras/archive/2005/12/31/308716.html
cve
王嘟嘟的博客
01-10 810
cve编号 时间 备注 cve-2018-20680 2019-01-09 2018年末提交的现在才通过 CVE-2018-20520 2018-12-27 CVE-2018-20448 2018-12-25 cve-2018-20680 CVE-2018-20520 CVE-2018-20448 ...
CVE是什么?
qzt961003的博客
07-21 2032
CVE的相关基础知识
Winform下的HTMLEditor引用Microsoft.mshtml的注意事项
Mars Huang
05-19 2779
最近做了一个winform下的htmleditor,引用了一个Microsoft.mshtml,在本地运行没有问题(有装VS),但发到测试(没装VS,只有运行库),结果界面不出来了,搞了好久,在网上了些文章,现在整理一下:    以个人本机为例,总结了一下,mshtml的问题处理方式如下:       1. C:\WINDOWS\system32\mshtml.dll 为win32下的调
CVE网址
haichunzhao的专栏
05-14 1158
http://cve.mitre.org/
F5 BIG-IP IQ 2021漏洞CVE-2021-22986:远程代码执行风险
### CVE-2021-22986: F5 BIG-IP-IQ 的远程代码执行漏洞分析 **背景**: CVE-2021-22986是一个针对F5 BIG-IP设备及其附属产品BIG-IP IQ(Intelligence Query)的安全漏洞。该漏洞允许攻击者通过不安全的API调用,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值