Εγκληματίες του κυβερνοχώρου μοιράζονται tutorials και exploits για τη Windows MSHTML zero-day ευπάθεια (CVE-2021-40444), σε hacking forums, δίνοντας τη δυνατότητα και σε άλλους hackers να αρχίσουν να εκμεταλλεύονται τη νέα ευπάθεια.
Δείτε επίσης: Η Microsoft έχει διορθώσει μια ευπάθεια στα Azure Container Instances
Την περασμένη εβδομάδα, η Microsoft αποκάλυψε μια νέα zero-day ευπάθεια στο Windows MSHTML. Η ευπάθεια επιτρέπει σε επιτιθέμενους να δημιουργήσουν κακόβουλα έγγραφα, συμπεριλαμβανομένων εγγράφων του Office και RTF, για να εκτελέσουν εντολές στον υπολογιστή του θύματος από απόσταση.
Ακόμα δεν υπάρχουν διαθέσιμες ενημερώσεις ασφαλείας για το σφάλμα CVE-2021-40444. Η zero-day ευπάθεια ανακαλύφθηκε από την υπηρεσία EXPMON και την εταιρεία ασφαλείας Mandiant και η Microsoft αποφάσισε να αποκαλύψει την ευπάθεια και να δώσει μερικές συμβουλές για να αποτρέψει την εκμετάλλευσή της.
, σε hacking forums,){kind=link}
Για να αποφύγει κάποιος μια πιθανή επίθεση, θα πρέπει να αποκλείσει τα ActiveX controls και τα previews εγγράφων Word/RTF στο Windows Explorer.
Windows MSHTML zero-day: Οδηγοί και PoCs έχουν δημοσιευτεί σε hacking forums
Όταν η Microsoft αποκάλυψε για πρώτη φορά τη zero-day ευπάθεια (CVE-2021-40444) στο Windows MSHTML, οι ερευνητές ασφαλείας βρήκαν γρήγορα τα κακόβουλα έγγραφα που χρησιμοποιούνται σε επιθέσεις.
Οι ερευνητές κατάφεραν να αναπαραγάγουν τις επιθέσεις και να τροποποιήσουν τα exploits για περαιτέρω δυνατότητες, αλλά δεν αποκάλυψαν λεπτομέρειες για να μην τα εκμεταλλευτούν άλλοι εγκληματίες του κυβερνοχώρου.
Δείτε επίσης: Νέα ευπάθεια DNS επιτρέπει την «κατασκοπεία σε επίπεδο κράτους»
Δυστυχώς, επιτιθέμενοι κατάφεραν να αναπαράγουν μόνοι τους το exploit και κακόβουλα δείγματα εγγράφων δημοσιεύτηκαν στο διαδίκτυο μαζί με tutorials και PoCs.
Από την περασμένη εβδομάδα, εγκληματίες άρχισαν να μοιράζονται πληροφορίες σχετικά με το HTML component του exploit και τον τρόπο δημιουργίας του κακόβουλου εγγράφου. Την Παρασκευή, δημοσιεύθηκαν περισσότερες οδηγίες για τη δημιουργία του payload και ενός CAB file που περιλάμβανε το path traversal vulnerability component.
Το Σάββατο, καθώς οι ερευνητές άρχισαν να δημοσιεύουν περισσότερες λεπτομέρειες στο Github και το Twitter, οι εγκληματίες μοιράστηκαν περισσότερες λεπτομέρειες σχετικά με τον τρόπο δημιουργίας όλων των πτυχών του exploit.
Οι πληροφορίες είναι απλές και επιτρέπουν σε οποιονδήποτε να δημιουργήσει τη δική του working version της zero-day ευπάθειας CVE-2021-40444, συμπεριλαμβανομένου ενός python server για τη διανομή κακόβουλων εγγράφων και CAB files.
Windows MSHTML zero-day: Άμυνα
Ευτυχώς, υπάρχουν και καλά νέα σε αυτή την υπόθεση. Από την αποκάλυψη της ευπάθειας και μετά, το Microsoft Defender και άλλα προγράμματα ασφαλείας μπορούν να εντοπίσουν και να αποκλείσουν κακόβουλα έγγραφα και CAB files που χρησιμοποιούνται σε αυτήν την επίθεση.
Η Microsoft έχει, επίσης, δώσει τις ακόλουθες οδηγίες για τον αποκλεισμό των ActiveX controls στον Internet Explorer και των previews σε έγγραφα στο Windows Explorer.
Δείτε επίσης: Windows Update: Ενημερώνει αν το PC σας μπορεί να τρέξει Windows 11;
Απενεργοποίηση ActiveX controls σε Internet Explorer
Ακολουθήστε τα παρακάτω βήματα:
Ανοίξτε το Notepad και επικολλήστε το ακόλουθο κείμενο σε ένα text file. Στη συνέχεια, αποθηκεύστε το αρχείο ως disable-activex.reg. Βεβαιωθείτε ότι έχετε ενεργοποιήσει την εμφάνιση των file extensions για τη σωστή δημιουργία του Registry file.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003Βρείτε το πρόσφατα δημιουργημένο disable-activex.reg και κάντε διπλό κλικ σε αυτό. Όταν εμφανίζεται ένα μήνυμα UAC, κάντε κλικ στο κουμπί “Yes” για να εισαγάγετε τα Registry entries.
Κάντε επανεκκίνηση στον υπολογιστή σας για να εφαρμόσετε το νέο configuration.
Μετά την επανεκκίνηση, τα ActiveX controls θα είναι απενεργοποιημένα στον Internet Explorer.
Μπορείτε να ενεργοποιήσετε ξανά τα ActiveX controls, διαγράφοντας τα παραπάνω Registry keys.
Απενεργοποίηση των previews εγγράφων στο Windows Explorer
Οι ερευνητές ασφαλείας διαπίστωσαν επίσης ότι η Windows MSHTML zero-day ευπάθεια μπορεί να αξιοποιηθεί με την προβολή ενός κακόβουλου εγγράφου, χρησιμοποιώντας τη δυνατότητα προεπισκόπησης.
Γι’ αυτό το λόγο, η Microsoft πρότεινε και την απενεργοποίηση του preview σε έγγραφα RTF και Word.
Στο Registry Editor (regedit.exe) μεταβείτε στο κατάλληλο registry key:
Για έγγραφα του Word:
- HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
- HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
- HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
Για RTF έγγραφα:
- HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
Κάντε export ένα αντίγραφο του Registry key ως backup.
Τώρα κάντε διπλό κλικ στο Name και διαγράψτε τα Value Data στο Edit String dialog παράθυρο.
Κάντε κλικ στο OK.
Τα previews είναι πλέον απενεργοποιημένα στο Windows Explorer.
Αυτά τα δύο μέτρα θα βοηθήσουν να αποτραπεί μια επίθεση. Ωστόσο, οι χρήστες εξακολουθούν να βρίσκονται σε κίνδυνο μέχρι κυκλοφορήσει μια επίσημη ενημέρωση ασφαλείας.
Πηγή: Bleeping Computer