Actualités

“Les campagnes initiales d’août 2021 provenaient probablement d’e-mails se faisant passer pour des contrats et des accords juridiques” : retour sur la vulnérabilité MSHTML !

Le 7 Septembre 2021, Microsoft communiquait autour d’une vulnérabilité au sein de MSHTML. Assignée CVE-2021-40444 et qualifiée 0-day, elle impactait le moteur de rendu via un contrôle ActiveX malveillant au sein d’un document bureautique de sous Microsoft Office (Word) ou encore – et entre-autres – depuis l’Explorer Windows ce qui permettait d’instiller Cobalt Strike Beacon. Désormais comblée (depuis Windows 7…) par un patch dédié, la vulnérabilité est évoquée un peu plus en détail, depuis le 15 Septembre 2021.

 

 

Les campagnes initiales d’août 2021 provenaient probablement d’e-mails se faisant passer pour des contrats et des accords juridiques, où les documents eux-mêmes étaient hébergés sur des sites de partage de fichiers. Le document d’exploit utilisait une relation oleObject externe pour intégrer du JavaScript d’exploitation dans le contenu MIME HTML hébergé à distance qui entraîne le téléchargement d’un fichier CAB contenant une DLL portant une extension de fichier INF, la décompression de ce fichier CAB, et l’exécution d’une fonction dans cette DLL. La DLL récupère le shellcode hébergé à distance (dans ce cas, un chargeur Cobalt Strike Beacon personnalisé) et le charge dans wabmig.exe (outil d’importation d’adresses Microsoft) […] Le contenu téléchargé à partir d’une source externe est marqué par le système d’exploitation Windows avec une marque du Web, indiquant qu’il a été téléchargé à partir d’une source potentiellement non fiable. Cela appelle le mode protégé dans Microsoft Office, nécessitant une interaction de l’utilisateur pour le désactiver afin d’exécuter du contenu tel que des macros. Cependant, dans ce cas, lorsqu’il est ouvert sans une marque du Web présent, la charge utile du document s’exécute immédiatement sans interaction de l’utilisateur – indiquant l’abus d’une vulnérabilité“, est-il indiqué au sein du billet de blog du Microsoft  Threat Intelligence Center (MSTIC). Ces campagnes, observées au moins depuis le 21 Août 2021, reposaient sur une fausse prospection d’emploi qui prétendait rechercher un développeur pour créer une application mobile.

 

Une mise en lumière – en primeur, avec l’aide des travaux de l’équipe Atlas (RiskIQ) – par l’équipe Mendiant (Dhanesh Kizhakkinan, Genwei Jiang, Bryce Abdo + Haifei Li pour Expmon et Rick Cole pour MSTIC) a été produite en identifiant une version personnalisée de Cobalt Strike Beacon au sein d’un document Word. “Les acteurs de la menace semblent utiliser un algorithme de génération de noms de domaine qui produit des domaines d’une longueur comprise entre six et huit caractères alphabétiques. Les domaines se terminent tous par un domaine de premier niveau (TLD) .COM. Les acteurs malveillants chiffrent généralement leur trafic à l’aide des certificats PositiveSSL de Sectigo. L’équipe Atlas de RiskIQ a découvert que le groupe disposait d’environ 200 serveurs BEACON actifs basés sur des adresses IP uniques au moment de la rédaction“, indique le billet de blog de RiskIQ, le 15 Septembre 2021 qui a recensé pas moins de 39 noms de domaines “uniques supplémentaires” et “codés en dur”. Enfin, il est mentionné le fait qu’une adresse mail (senmontechristo at protonmail.com) a été principalement utilisée pour enregistrer plusieurs sites ou noms de domaine (notamment medicalenv . com, cyber-upddates . com, apprlone . com, doc. apperlon . com) afin de déployer Cobalt Strike Beacon en tant que charge virale “sous un profil Malleable command-and-control“. L’équipe sécuritaire Atlas confirme vivement un lien direct avec le cyber-groupe UNC1878.

D’autres révélations (ou conclusions, selon les travaux des chercheurs cités précédemment) sont mises en lumière, notamment le fait qu’une “partie de l’infrastructure qui hébergeait les oleObject” intégrait, également, des charges malveillantes dangereusement connues telles que Trickbot, Conti ou encore BazaLoader / BazarLoader, ce qui suppose une corrélation potentielle mais soulignée permettant de croiser les activités du cyber-groupe DEV-0193 (nommage par Microsoft) autrement répertorié par Mandiant sous l’appellation UNC1878. De son côté, RiskIQ reprend les mêmes arguments (puisqu’impulsés initialement) en rajoutant que la corrélation s’étend, en toute logique malheureusement, jusqu’à des exploits assimilés à Spider (CrowdStrike), Emotet et Ryuk. Malgré cette corrélation forte, Microsoft n’écarte pas le facteur hasard et recense l’activité de l’exploit sous MSHTML sous un autre numéro d’attribution (cyber-attaquants) via DEV-0413 même si le fait d’avoir exploiter Cobalt Strike pouvait potentiellement faire pointer vers un autre groupe (recensé DEV-0365).

Outre les solutions d’atténuations et d’investigations préconisées vers les administrateurs-système ou réseau, il est conseillé d’appliquer la mise à jour déployée par Microsoft, depuis le 14 Septembre 2021… A suivre !

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.4a