🔥 Sở Lao động - Thương binh và Xã hội tỉnh Quảng Nam đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh Hà Tĩnh đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng HĐND và UBND huyện Ngọc Hồi, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Công Thương tỉnh Ninh Bình đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Xúc tiến thương mại và Đầu tư tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Tin tặc bypass bản vá lỗ hổng nghiêm trọng trong MSHTML Microsoft để phát tán mã độc

26/12/2021

Mới đây, các nhà nghiên cứu của SophosLabs đã phát hiện một chiến dịch lừa đảo mới nhằm phát tán mã độc Formbook đã sử dụng một khai thác mới để vượt qua bản cập nhật bảo mật cho lỗ hổng thực thi mã từ xa ảnh hưởng đến thành phần MSHTML của Microsoft.

Lỗ hổng có định danh CVE-2021-40444 (điểm CVSS: 8,8), cho phép đối tượng tấn công thực thi mã từ xa trong MSHTML. Mặc dù Microsoft đã phát hành bản vá lỗ hổng trong bản cập nhật tháng 9 năm 2021, nhưng lỗ hổng vẫn bị lạm dụng trong nhiều cuộc tấn công.

Cùng tháng đó, một chiến dịch lừa đảo đã lợi dụng lỗ hổng để triển khai Cobalt Strike Beacons trên các hệ thống Windows bị xâm phạm. Vào tháng 11, SafeBreach Labs đã báo cáo về việc một kẻ tấn công đã khai thác CVE-2021-40444 để cài đặt chương trình đánh cắp thông tin lên các hệ thống mục tiêu.

Chiến dịch mới đã vượt qua bản vá bằng cách biến đổi mã khai thác có sẵn thành công cụ khai thác mới có tên CAB-less 40444 và sử dụng nó để phát tán phần mềm độc hại Formbook.

Tấn công kéo dài trong 36 giờ, từ ngày 24 đến ngày 25 tháng 10, đã gửi các email spam chứa tệp RAR không đúng định dạng đến các mục tiêu. Tệp này bao gồm một tập lệnh được viết trong Windows Script Host (WSH) và một tài liệu Word mà khi mở ra, nó sẽ kết nối đến một máy chủ lưu trữ mã JavaScript độc hại.

Mã JavaScript sử dụng Tài liệu Word để khởi chạy tập lệnh WSH và thực thi lệnh PowerShell được nhúng trong tệp RAR để tải về phần mềm độc hại Formbook.

Các nhà nghiên cứu cho biết các tệp lưu trữ RAR đã sửa đổi không hoạt động với các phiên bản cũ hơn của tiện ích WinRAR. “Vì vậy, trong trường hợp này, người dùng phiên bản WinRAR cũ/lỗi thời hơn sẽ được an toàn hơn so với người dùng phiên bản mới nhất”.

Nhà nghiên cứu của SophosLabs, Andrew Brandt cho biết “Nghiên cứu này là một lời nhắc nhở rằng bản vá không thể bảo vệ khỏi tất cả các lỗ hổng trong mọi trường hợp”.

"Điều quan trọng là nên hướng dẫn nhân viên và nhắc nhở họ cảnh giác với các tài liệu được gửi qua email, đặc biệt là khi nhận được các định dạng tệp nén bất thường từ những người hoặc công ty mà họ không biết"

Người phát ngôn của Microsoft cho biết họ đang điều tra các báo cáo liên quan và sẽ có hành động thích hợp nếu cần để bảo vệ khách hàng của mình.

Nguồn: thehackernews.com.

scrolltop