Microsoft: ошибка Windows MSHTML теперь используется бандами вымогателей

Microsoft исправляет недостаток Defender, позволяющий хакерам обходить антивирусные сканирования

Microsoft заявляет, что несколько злоумышленников, в том числе аффилированные с программами-вымогателями, нацелены на недавно исправленную уязвимость безопасности удаленного выполнения кода Windows MSHTML.

По данным компании, эксплуатация этой уязвимости (отслеживаемая как CVE-2021-40444 ) началась 18 августа, более чем за две недели до того, как Microsoft опубликовала рекомендации по безопасности с частичным обходным путем .

Согласно данным телеметрии, проанализированным аналитиками безопасности из группы анализа угроз Microsoft 365 Defender и Центра аналитики угроз Microsoft (MSTIC), небольшое количество начальных атак (менее 10) использовало злонамеренно созданные документы Office.

Эти атаки были нацелены на ошибку CVE-2021-40444 «в рамках кампании начального доступа, в рамках которой распространялись пользовательские загрузчики Cobalt Strike Beacon».

Маячки, развернутые в сети, по крайней мере, одной жертвы, взаимодействовали с вредоносной инфраструктурой, связанной с несколькими кампаниями по киберпреступлениям, в том числе с программами-вымогателями, управляемыми человеком.

Некоторая инфраструктура Cobalt Strike, использованная в августовских атаках CVE-2021-40444, также использовалась в прошлом для доставки полезной нагрузки BazaLoader и Trickbot — активность, совпадающая с связанной с кластером активности DEV-0193, отслеживаемая Mandiant как UNC1878, также известная как WIZARD SPIDER. / РЮК по данным RiskIQ.

Доставляемая полезная нагрузка также перекрывалась с DEV-0365, кластером активности, связанным с инфраструктурой, возможно, используемой в качестве службы управления и контроля (C2) Cobalt Strike (CS-C2aaS) для других групп.

Используется бандами вымогателей после публичного раскрытия информации

Microsoft также отметила резкое увеличение числа попыток эксплуатации уязвимостей в течение 24 часов после публикации рекомендации CVE-2021-40444.

«С момента публичного раскрытия информации Microsoft наблюдала, как несколько злоумышленников, в том числе аффилированные лица, использующие программу-вымогатель как услугу, внедряют публично раскрытый код подтверждения концепции в свои наборы инструментов», — добавили исследователи .

«Microsoft продолжает следить за ситуацией и работать над устранением конфликтов между тестированием и реальной эксплуатацией».

Как добавил Джастин Уорнер, аналитик MSTIC Threat Intelligence, другие группы угроз и участники, вероятно, продолжат добавлять эксплойты CVE-2021-40444 в свой арсенал в ближайшие дни и недели.

Microsoft рекомендует немедленно применить обновления безопасности CVE-2021-40444, выпущенные во вторник сентября 2021 года, чтобы заблокировать входящие атаки.

CVE-2021-40444 влияет на системы под управлением Windows Server 2008–2019 и Windows 8.1 или более поздней версии и имеет уровень серьезности 8,8 из 10 возможных.

Обновления безопасности , выпущенные Microsoft адрес уязвимость для всех версий Windows , пострадавших и включают в себя Ежемесячная Rollup , в безопасности всего обновления , и накопительное обновление для Internet Explorer.

Последнее обновление 16.09.2021