新的漏洞可让恶意软件攻击者绕过关键Microsoft MSHTML漏洞的修补程序

据观察，一场短命的网络钓鱼活动利用了一个新的漏洞，绕过了微软安装的补丁，修复了一个影响MSHTML组件的远程代码执行漏洞，目的是交付Formbook恶意软件。

SophosLabs的研究人员安德鲁·布兰特（Andrew Brandt）和斯蒂芬·奥曼迪（Stephen Ormandy）在周二发布的一份新报告中说：“这些附件代表了攻击者滥用CVE-2021-40444漏洞的升级，并证明即使是一个补丁也不能总是缓解一个有动机、足够熟练的攻击者的行为。”。

CVE-2021-40444（CVSS分数：8.8）与MSHTML中的远程代码执行缺陷有关，可使用巧尽心思构建的Microsoft Office文档加以利用。尽管微软将安全弱点列为2021年9月补丁星期二更新的一部分，但自从与漏洞有关的细节公开以来，它一直被用于多个攻击。

同一个月，这家科技巨头发现了一场有针对性的网络钓鱼活动，利用该漏洞在受损的Windows系统上部署Cobalt Strike信标。然后在11月，安全漏洞实验室报告了伊朗威胁行为人行动的细节，该行动用一个新的基于PowerShell的信息窃取器针对讲波斯语的受害者，该窃取器旨在收集敏感信息。

Sophos发现的新活动旨在通过变形一个公开的Office概念验证漏洞，并将其武器化以分发Formbook恶意软件，从而绕过补丁的保护。这家网络安全公司表示，这次攻击的成功在一定程度上可以归因于“过于狭隘的补丁”

研究人员解释说：“在CVE-2021-40444漏洞攻击的初始版本中，恶意Office文档检索到了打包到Microsoft Cabinet（或.CAB）文件中的恶意软件负载。”。“当微软的补丁关闭了这个漏洞时，攻击者发现他们可以通过将maldoc封装在一个精心制作的RAR存档中，从而完全使用不同的攻击链。”

CAB-less 4044410月24日至25日，这一修改后的漏洞攻击持续了36个小时，在此期间，包含错误RAR存档文件的垃圾邮件被发送给潜在的受害者。而RAR文件则包括一个在Windows脚本主机（WSH）中编写的脚本和一个Word文档，打开后，该文档会与托管恶意JavaScript的远程服务器联系。

因此，JavaScript代码利用Word文档作为管道来启动WSH脚本，并在RAR文件中执行嵌入式PowerShell命令，以从攻击者控制的网站检索Formbook恶意软件负载。

至于为什么该漏洞在使用一天多一点的时间里消失了，线索在于，修改后的RAR归档文件无法与旧版本的WinRAR实用程序一起使用。“因此，出乎意料的是，在这种情况下，旧得多、过时得多的WinRAR版本的用户会比最新版本的用户得到更好的保护，”研究人员说。

SophosLabs首席研究员安德鲁·布兰特（Andrew Brandt）说：“这项研究提醒我们，在所有情况下，单靠修补无法抵御所有漏洞。”。“设置限制以防止用户意外触发恶意文档会有所帮助，但人们仍可能被引诱单击“启用内容”按钮。”

布兰特补充说：“因此，教育员工并提醒他们对电子邮件文件持怀疑态度至关重要，尤其是当他们以不寻常或不熟悉的压缩文件格式从他们不认识的人或公司收到文件时。”。当要求回复时，微软发言人表示，“我们正在调查这些报告，并将根据需要采取适当行动，帮助保护客户。”

更新：微软告诉黑客新闻，上面提到的漏洞确实是在2021年9月发布的安全更新中解决的。Sophos现在指出，无CAB的40444攻击“可能在没有针对CAB式攻击的9月份补丁的情况下，规避了CVE-2021-40444的缓解措施”，并且该补丁阻止了恶意行为。