微軟發現利用CVE-2021-40444漏洞的攻擊活動。

　　MSHTML是Windows中用來渲染web頁面的軟件組件。雖然主要與IE相關，但也用于其他版本，包括Skype、Outlook、Visual Studio等。研究人員在MSHTML中發現的0 day漏洞CVE編號為CVE-2021-40444，CVSS評分為8.8分。

　　8月微軟研究人員發現了一小波使用偽造的office文件來利用該漏洞的攻擊活動，該攻擊活動是分發定制的Cobalt Strike Beacon加載器的攻擊活動的一部分。這些加載器會與一個基礎設施進行通信。

　　漏洞利用機制

　　8月份的攻擊活動貌似來源于保存在文件共享站點的偽裝成合同和法律協議的郵件。漏洞利用文件使用外部oleObject 關系將可利用的JS代碼嵌入到MIME HTML文件，這些遠程內容會引發包含DLL的CAB文件下載；解壓CAB文件；DLL內的函數執行。DLL會提取遠程保存的shellcode（定制的Cobalt Strike Beacon加載器）并將shellcode加載到wabmig.exe中。

　　圖 1. 原始漏洞利用向量

　　內容是從標記為mark of the web的外部源下載的，表明該內容是從可能不信任的源下載的。這會引發微軟office中的保護模式，要求用戶交互來禁用其中運行內容。如果打開沒有mark of the web標記的文檔，文件的payload會立刻無需用戶交互的執行，這樣就可以濫用該漏洞。

　　圖 2. 使用CVE-2021-40444漏洞的攻擊鏈

　　利用 CVE-2021-40444漏洞的DEV-0413

　　研究人員將與Cobalt Strike基礎設施相關的網絡犯罪組織命名為DEV-0365。DEV-0365 的基礎設施與之前的一些犯罪組織的基礎設施有一些相似支持，表明它可能是由不同的運營者來創建或管理的。但基礎設施隨后的攻擊活動表明與多個勒索軟件攻擊者相關。可能的解釋是DEV-0365可能是一種C2基礎設施即服務的一部分。

　　此外，一些保存2021年8月的攻擊活動中使用的 oleObjects 的基礎設施也參與了傳播BazaLoader和Trickbot payload的攻擊活動，即DEV-0365與另一個黑客組織DEV-0193有一定的重疊和交叉。

　　此外，研究人員在監控 DEV-0413攻擊活動的過程中，微軟發現保存CVE-2021-40444內容的DEV-0413基礎設施并沒有應用基本的安全準則。DEV-0413并沒有限制瀏覽器代理訪問服務器，因此可以列出web服務器的目錄。因此，攻擊者會暴露其漏洞利用給所有人。

　　圖 3. 尋求應用開發者的郵件

　　在DEV-0413 8月份的活動中至少有一個被黑客成功入侵的組織之前也被類似的與DEV-0365基礎設施交互的惡意軟件入侵過。在9月1日的DEV-0413活動中，微軟識別了一個誘餌文件的變化，如下圖所示：

　　圖 4. DEV-0413 使用的誘餌郵件

　　漏洞利用自8月份開始的時間軸如下圖所示：

　　圖 5. 漏洞利用時間