Microsoft MSHTML Remote Code Execution Zafiyeti (CVE-2021-40444)

Genel Saldırı Özeti

CVE-2021-40444 güvenlik zafiyetinin çıkış noktası Internet Explorer yazılımında bulunan ActiveX özelliğidir.Bugünlerde çok az kişi Internet Explorer kullanıyor olsa da bu eski tarayıcı modern Windows işletim sistemlerinin bir bileşeni olmaya devam ediyor, özellikle, Word ve PowerPoint gibi Microsoft Office uygulamaları Web içeriğini işlemek için eski Internet Explorer motoru kullanılıyor.

Saldırganlar CVE-2021-40444 zafiyetini sömürmek için Microsoft Word dokümanı üzerinden hedef cihazı bir web adresine yönlendirmektedir. Bu web adresi üzerinden ministry.cab uzantılı bir zararlı yazılım ActiveX kullanılarak indirilir, ministry.cab içinde bulunan championship.inf aslında Cobalt Strike zararlı yazılımını içermektedir.

Hedef kişi zararlı yazılım içeren bu Word dökümanına tıkladıktan sonra cihaz saldırgan tarafından ele geçirilir. Bu işlem Word uygulamasının normal akışına terstir ve indirme işlemi için ActiveX kötüye kullanılır. Process Tree üzerinden görülen Control.exe, CVE-2021-40444 kodlu zafiyet kullanılarak “AppData/Local/Temp/Low” klasörü altına indirilen zararlı yazılımı çalıştırılmaktadır.

rce

 

CVE-2021-40444 Zafiyetinin İstismar İşlemi İçin Özel Olarak Hazırlanan JavaScript İçeriği

Word dosyası hedef cihaz içinde açıldığı anda zafiyeti istismar etmek için side.html isimli bir adrese ActiveX üzerinden sorgu göndermektedir.

CVE-2021-40444

Zafiyeti istismar etmek için kullanılan Web adresi Word dokümanı içinde (“document.xml.rels”) String formatında görülebilir. Kırmızı olarak işaretlenen bölüm Exploit işlemi sırasında kullanılan saldırgana ait web adresidir. Zararlı Yazılım barındıran web adresinin başında bulunan mhtml: tagı Microsoft Office ürünlerinin bir özelliği olan MSHTML’in kullanıldığını işaret eder.

mhtml

 

Side.html İçerisinden Decode Edilen JavaScript Kodu

side.html içeriği karmaşıklaştırılmış (Obfuscated) şekilde JavaScript kodu içerir. Yapılan analizler sonucunda bu kod açılarak anlamlı bir hale getirilmiştir.

Resimde görülen kod parçasında belirli bir server üzerinden indirilen .cab dosyası (Zararlı Yazılım) yine saldırgan tarafından belirlenen “/AppData/Local/Temp/Low” konumuna ActiveXObject yardımı ile indirilir, ardından 2.aşama olarak .cpl formatında Control.exe üzerinden rundll32.exe ile .cab dosyası içinde bulunan championship.inf zararlısı çalıştırılır.

Side.html

Saldırgan tarafından zararlı yazılım olarak kullanılan ministry.cab uzantılı Cabinet dosyası içinden çıkan “championship.inf” rundll32.exe ile çalıştırılabilir (DOS MZ executable).

ministry.cab

 

Microsoft MSHTML Remote Code Execution Zafiyeti Saldırı Akışı

Saldırganlar Microsoft Office belgesinde MSHTML oluşturma altyapısını kullanarak bir ActiveX denetimi oluşturabilir. Saldırganın bir MS Office belgesine gömülü zararlı kod içeren ActiveX denetimini hazırladıktan sonra bu belgeyi kullanıcıya teslim etmesi gerekir. Zararlı Yazılım içeren belgeleri mail eki veya bağlantı olarak göndermek için çoğunlukla Kimlik Avı (MITRE ATT&CK T1566) tekniğini kullanır. Bundan sonra, kullanıcının zafiyeti tetiklemek için zararlı yazılım içeren belgeyi açması gerekir.

Zararlı Yazılım içeren belge açıldıktan sonra Exploit tetiklenir ve saldırgan web adresinden indirilen zararlı yazılım resimde görülmektedir.

Exploit

 

Saldırı Yüzeyinin Azaltılması ve Güvenlik Zafiyetine Karşı Alınabilecek Önlemler

  • ActiveX controls özelliğini kapatın

Aşağıda bulunan Registry kodunu .reg olarak kayıt edip Admin hakları ile çalıştırın ardından cihazı yeniden başlatın

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

“1001”=dword:00000003

“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]

“1001”=dword:00000003

“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]

“1001”=dword:00000003

“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

“1001”=dword:00000003

“1004”=dword:00000003

 

  • Microsoft Office yazılımını, internetten gelen belgeleri otomatik olarak Korumalı Görünüm olarak açılması için ayarlayın ve macroları engelleyin.

https://support.microsoft.com/en-us/topic/what-is-protected-view-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653

Bu güvenlik zafiyeti için henüz Microsoft tarafından bir Patch yayınlanmamıştır.

 

CVE-2021-40444 Indicators of Compromise (IOCs) Verisi

.DOCX dosyası #1 (A Letter before court 4.docx):

MD5 1d2094ce85d66878ee079185e2761beb

SHA-1 53b31e513d8e23e30b7f133d4504ca7429f0e1fe

SHA-256 938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52

 

.DOCX dosyası #2 (PRD.docx):

MD5 d1837399df37757e5ebd04f45746301a

SHA-1 f43ebedb86db817b208aebdf88e08163f239b832

SHA-256 199b9e9a7533431731fbb08ff19d437de1de6533f3ebbffc1e13eeffaa4fd455

 

.DOCX dosyası #3 (Project details (1).docx):

MD5 265be11d746a90d8b6a6f9eda1d31fb7

SHA-1 1a528a5964cd18d8ce7a47e69e30ef1163407233

SHA-256 5b85dbe49b8bc1e65e01414a0508329dc41dc13c92c08a4f14c71e3044b06185

 

.DOCX dosyası #4 (App description.docx):

MD5 6f194654557e1b52fb0d573a5403e4b1

SHA-1 d05fc61894cb7652dce69edd6e4cf7e4e639754a

SHA-256 3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf

.DOCX dosyası #5 (court.docx):

MD5 55998cb43459159a5ed4511f00ff3fc8

SHA-1 9bec2182cc5b41fe8783bb7ab6e577bac5c19f04

SHA-256 d0e1f97dbe2d0af9342e64d460527b088d85f96d38b1d1d4aa610c0987dca745

 

.HTML dosyası (side.html):

MD5 4c80dc9fb7483214b1613957aae57e2a

SHA-1 e5f2089d95fd713ca3d4787fe53c0ec036135e92

SHA-256 d0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6

 

.CAB dosyası (ministry.cab):

MD5 e770385f9a743ad4098f510166699305

SHA-1 56a8d4f7009caf32c9e28f3df945a7826315254c

SHA-256 1fb13a158aff3d258b8f62fe211fabeed03f0763b2acadbccad9e8e39969ea00

 

.DLL dosyası (payload.dll):

MD5 0b7da6388091ff9d696a18c95d41b587

SHA-1 6c10d7d88606ac1afd30b4e61bf232329a276cdc

SHA-256 6eedf45cb91f6762de4e35e36bcb03e5ad60ce9ac5a08caeb7eda035cd74762b

 

.XML dosyası (document.xml.rels):

MD5 5890b8eed650223f37bb358c095306f3

SHA-1 7eab2182e3f851ab4cd026ba5f26a59040c0c8bc

SHA-256 049ed15ef970bd12ce662cffa59f7d0e0b360d47fac556ac3d36f2788a2bc5a4