Se observó una campaña de phishing de corta duración utilizando un nuevo exploit que pasó por alto un parche introducido por Microsoft para corregir una vulnerabilidad de ejecución remota de código que afectaba al componente MSHTML para entregar malware Formbook.
«Los archivos adjuntos representan una escalada de la explotación del atacante del error CVE-2021-40444 y muestran que incluso una solución no siempre puede mitigar las acciones de un atacante motivado y suficientemente calificado», dijeron los investigadores de SophosLabs Andrew Brandt y Stephen Ormandy. nuevo informe publicado el martes.
CVE-2021-40444 (puntuación CVSS: 8,8) se refiere a un error de ejecución remota de código en MSHTML que puede explotarse utilizando documentos de Microsoft Office especialmente diseñados. Aunque Microsoft abordó esta vulnerabilidad en sus actualizaciones del martes de parches de septiembre de 2021, se ha utilizado en muchos ataques desde que se publicaron los detalles del error.
Ese mismo mes, el gigante de la tecnología dio a conocer una campaña de phishing dirigida que explotaba vulnerabilidades para implementar Cobalt Strike Beacons en sistemas Windows comprometidos. En noviembre, SafeBreach informó los detalles de una operación de un actor de amenazas iraní dirigida a víctimas de habla persa con un nuevo robo de información basado en PowerShell diseñado para recopilar información confidencial.
La nueva campaña, lanzada por Sophos, tiene como objetivo eludir la protección de este parche transformando el exploit de prueba de concepto disponible públicamente Office y equipándolo para distribuir el malware Formbook. La compañía de seguridad cibernética dijo que el éxito del ataque podría atribuirse en parte a un «parche demasiado estrecho».
«En las versiones iniciales de los exploits CVE-2021-40444, [the] «Cuando un parche de Microsoft cerró esta brecha, los atacantes descubrieron que podían usar una cadena de ataques completamente diferente al encerrar el Maldoc en un archivo RAR especialmente diseñado».
Sin cabina 40444, como se llama el exploit modificado, duró 36 horas entre el 24 y el 25 de octubre, durante las cuales las víctimas potenciales recibieron correos electrónicos no deseados que contenían un archivo RAR con formato incorrecto. El archivo RAR, a su vez, contenía un script escrito en Windows Script Host (WSH) y un documento de Word que, cuando se abría, contactaba con un servidor remoto que alojaba JavaScript malicioso.
Como resultado, el código JavaScript utilizó el documento de Word como un canal para ejecutar el script WSH y ejecutar el comando PowerShell incrustado en el archivo RAR para recuperar el contenido del malware Formbook de un sitio web controlado por un atacante.
En cuanto a por qué el exploit desapareció después de más de un día de uso, las pistas son que los archivos de archivo RAR modificados no funcionarían con versiones anteriores de WinRAR. «Entonces, inesperadamente, en este caso, los usuarios de versiones mucho más antiguas y desactualizadas de WinRAR estarían mejor protegidos que los usuarios de la última versión», dijeron los investigadores.
«Esta investigación es un recordatorio de que los parches por sí solos no pueden proteger contra todas las vulnerabilidades en todos los casos», dijo Andrew Brandt, investigador jefe de SophosLabs. «Establecer restricciones que eviten que un usuario ejecute accidentalmente un documento malicioso ayuda, pero las personas aún pueden verse tentadas a hacer clic en el botón ‘permitir contenido'».
«Por lo tanto, es vital educar a los empleados y recordarles que sospechen de los documentos de correo electrónico, especialmente cuando llegan en formatos de archivo comprimido inusuales o desconocidos de personas o empresas que no conocen», agregó Brandt. Tocando una respuesta, un portavoz de Microsoft dijo: «Estamos investigando estos informes y tomaremos las medidas necesarias para proteger a nuestros clientes».
Actualizaciones: Microsoft le dijo a The Hacker News que el exploit mencionado anteriormente fue resuelto por las actualizaciones de seguridad que se lanzaron en septiembre de 2021. Sophos ahora señala que el exploit 40444 sin CAB «puede haber evitado la mitigación CVE-2021-40444 sin la corrección de estilo de ataque de septiembre. CAB ”Y que el parche bloquea el comportamiento malicioso.
