CategoriaInteligência de vulnerabilidadeClasse de vulnerabilidadeExecução remota de códigoID CVECVE-2021-40444CVSS: 3.0 Pontuação8,8TOPO#VERDEReferência* https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability # https://en.wikipedia.org/wiki/Traffic_Light_Protocol

Sumário executivo

• Pesquisadores da Microsoft, Mandiant e Expmon detectaram uma vulnerabilidade, rastreada como CVE-2021-40444, que visa uma falha de execução remota de código em MSHTML, usada no Microsoft Office para renderizar conteúdo da Web em documentos do Word, Excel e PowerPoint.
• A vulnerabilidade de dia zero é explorada ativamente por agentes de ameaças e os usuários do Office são atacados por meio de vetores de ataque do lado do cliente.
• A Microsoft atualizou o Windows Defender Antivirus e o Windows Defender for Endpoints para se defender contra essa vulnerabilidade.
• Os ativos podem ser protegidos contra o ataque seguindo as diretrizes registradas na seção Impacto e Mitigação deste comunicado.

Análise

O Trident, popularmente conhecido como MSHTML, é um mecanismo de navegador desenvolvido pela Microsoft para o Internet Explorer. O pacote Microsoft Office oferece suporte ao MSHTML, que tem uma vulnerabilidade de execução remota de código (CVE-2021-40444) que os invasores estão explorando cada vez mais para obter a execução de código nos sistemas de destino. No momento, a Microsoft não divulgou os detalhes técnicos da vulnerabilidade.

• Os agentes de ameaças criam um controle ActiveX malicioso que é usado em documentos do Office que hospedam MSHTML.
• A falha lógica no MSHTML é acionada quando o usuário abre o documento malicioso.
• No entanto, o Protected View/Application Guard nos aplicativos do Microsoft Office é capaz de se defender contra esses ataques direcionados.
• A Microsoft atualizou o Defender for Endpoints para sinalizar esses ataques com um alerta que diz “Execução suspeita de arquivos Cpl”.
• A Microsoft não lançou um patch para essa vulnerabilidade de dia zero, mas os TTPs (técnicas, táticas e procedimentos) para essa vulnerabilidade foram atualizados no Windows Defender.
• Além disso, um comunicado oficial da Microsoft que inclui uma solução alternativa foi incluído na seção a seguir.

Impacto e mitigação

Mitigação de impacto

• A execução remota de código permite que os atacantes assumam o controle do sistema alvo.
• O acesso inicial a um endpoint corporativo pode potencialmente permitir movimentos laterais na rede interna.
• Os atores dos estados-nação aproveitam as vulnerabilidades de dia zero do lado do cliente para comprometer as informações, enquanto os grupos de ransomware usam essas vulnerabilidades para extorquir dinheiro criptografando os dados do usuário.

• Diretrizes da Microsoft que abordam a vulnerabilidade de dia zero CVE-2021-40444: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

Indicadores de compromisso

IP/ Domíniohidusi [.] comdodefoh [.] com: 443joxinu [.] com: 44345,147,229,242104,194,102,21HashesD0e1f97dbe2d0af9342e64d460527b088d85f96d38b1d1d4aa610c0987dca745049ed15ef970bd12ce662cffa59f7d0e0b360d47fac556ac3d36f2788a2bc5a45b85dbe49b8bc1e65e01414a0508329dc41dc13c92c08a4f14c71e3044b06185199b9e9a7533431731fbb08ff19d437de1de6533f3ebbffc1e13eeffaa4fd4553bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecfD0fd7acc38b3105facd6995344242f28e45f5384c0fdf2ec93ea24bfbc1dc9e6938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52