CVE-2021-40444 MSHTML

güvenlik açığından yararlanan

saldırıların analiz edilmesi
 Microsoft 365 Defender Tehdit İstihbarat Ekibi
 Microsoft Tehdit İstihbarat Merkezi (MSTIC)

Ağustos ayında, Microsoft Tehdit İstihbarat Merkezi (MSTIC), özel hazırlanmış Microsoft Office belgeleri kullanarak MSHTML'de bir uzaktan
kod yürütme güvenlik açığından yararlanmaya çalışan az sayıda (10'dan az) saldırı tespit etti. Bu saldırılar, özel Cobalt Strike Beacon
yükleyicileri dağıtan bir ilk erişim kampanyasının parçası olarak CVE-2021-40444 olarak izlenen güvenlik açığını kullandı . Bu yükleyiciler,
Microsoft'un insan tarafından işletilen fidye yazılımları da dahil olmak üzere birden çok siber suç kampanyasıyla ilişkilendirdiği bir altyapıyla
iletişim kurdu.

Gözlenen saldırı vektörü, kötü amaçlı bir Office belgesi kullanılarak tarayıcı işleme motoru tarafından yüklenebilecek kötü amaçlı bir ActiveX
denetimine dayanır. Office'in alt süreçler oluşturmasını engellemek için saldırı yüzeyi azaltma kurallarını etkinleştiren müşteriler , bu saldırılarda
kullanılan istismar tekniğinden etkilenmez. Bu saldırılar, giriş noktası cihazlarına erişmek ve yüksek ayrıcalıklı kod çalıştırmak için bir güvenlik
açığı kullansa da, saldırganlar tarafından gerçekleştirilen ikincil eylemler, kuruluş çapında etki yaratmak için hala kimlik bilgilerini çalmaya ve
yanlamasına hareket etmeye dayanır. Bu, saldırı yüzeyinin azaltılması, kimlik bilgisi hijyeni ve yanal hareket azaltmalarına yatırım yapmanın
önemini göstermektedir. Müşterilerin bu güvenlik açığını tamamen ortadan kaldırmak için CVE-2021-40444 güvenlik düzeltme
ekini uygulamaları önerilir .
Bu blog, CVE-2021-40444'ü kullanan saldırılara ilişkin derinlemesine analizimizin ayrıntılarını verir, aşağıdakiler için algılama ayrıntıları ve
araştırma kılavuzu sağlar: Microsoft 365Defender müşterileri ve bu ve benzeri saldırılara karşı ağları güçlendirmek için azaltma adımlarını
listeler. RiskIQ'daki meslektaşlarımız kendi analizlerini yaptılar ve bu araştırmayı yayınlamak için Microsoft ile koordineli bir şekilde çalıştılar .

Dağıtım mekanizmasından yararlanın

Ağustos 2021'deki ilk kampanyalar, muhtemelen, belgelerin dosya paylaşım sitelerinde barındırıldığı sözleşmeleri ve yasal anlaşmaları taklit
eden e-postalardan kaynaklandı. İstismar belgesi, sömürüye dayalı JavaScript'i MIME HTML uzaktan barındırılan içeriğe yerleştirmek için harici
bir oleObject ilişkisi kullandı ve bu, (1) INF dosya uzantısına sahip bir DLL içeren bir CAB dosyasının indirilmesi, (2) bu CAB dosyasının
sıkıştırılması ve ( 3) bu DLL içinde bir işlevin yürütülmesi. DLL, uzaktan barındırılan kabuk kodunu ( bu örnekte özel bir Cobalt Strike Beacon
yükleyicisi) alır ve onu wabmig.exe'ye (Microsoft adres içe aktarma aracı) yükler .

Şekil 1. Orijinal istismar vektörü: Yükleyicinin yükünün iletişim kurduğu Cobalt Strike Beacon altyapısına benzer niteliklere sahip altyapıda
barındırılan bir HTML dosyasına işaret eden bir MHTML işleyici önekini taşıyan harici olarak hedeflenmiş bir oleObject ilişki tanımı.

Harici bir kaynaktan indirilen içerik, Windows işletim sistemi tarafından, potansiyel olarak güvenilmeyen bir kaynaktan indirildiğini gösteren bir
web işaretiyle etiketlenir. Bu, Microsoft Office'te Korumalı Modu başlatır ve makrolar gibi içeriği çalıştırmak için devre dışı bırakmak için
kullanıcı etkileşimi gerektirir. Ancak bu durumda, web'in bulunduğuna dair bir işaret olmadan açıldığında, belgenin yükü kullanıcı etkileşimi
olmadan hemen yürütülür ve bu da bir güvenlik açığının kötüye kullanıldığını gösterir.

Şekil 2. CVE-2021-40444 kullanan DEV-0413 kampanyasının saldırı zinciri

DEV-0413, CVE-2021-40444'ün istismar edildiğini gözlemledi

Microsoft'un hem ulus devlet hem de siber suç tehdidi aktörlerini takip etme konusundaki süregelen taahhüdünün bir parçası olarak,
tanımlanamayan tehdit aktörüne bir "geliştirme grubu" diyoruz ve ortaya çıkan bir tehdit grubunu belirtmek için "DEV" ön ekiyle bir tehdit
aktörü adlandırma yapısı kullanıyoruz veya MSTIC'in bir operasyonun arkasındaki aktörün kökeni veya kimliği hakkında yüksek güvene
ulaşmasından önceki izleme ve soruşturma aşamalarında benzersiz aktivite. MSTIC, DEV-0365 adı altında Cobalt Strike altyapısını içeren geniş
bir siber suç faaliyeti kümesini takip eder.

DEV-0365 ile ilişkilendirdiğimiz altyapı, farklı bir operatör grubu tarafından oluşturulduğunu veya yönetildiğini gösteren Kobalt Saldırısı
altyapısının davranış ve benzersiz tanımlayıcı özellikleri açısından çeşitli örtüşmelere sahiptir. Bununla birlikte, bu altyapıdan gelen takip
etkinliği, insan tarafından işletilen fidye yazılımı saldırılarıyla (Conti fidye yazılımının konuşlandırılması dahil) ilişkili birden çok tehdit aktörünü
veya kümesini gösterir. Bir açıklama, DEV-0365'in siber suçlular için bir hizmet olarak bir tür komuta ve kontrol altyapısına dahil olmasıdır.

Ek olarak, CVE-2021-40444'ü kötüye kullanan Ağustos 2021 saldırılarında kullanılan oleObjects'i barındıran altyapının bir kısmı da BazaLoader
ve Trickbot yüklerinin tesliminde yer aldı - Microsoft'un DEV-0193 olarak izlediği bir grupla örtüşen etkinlik. DEV-0193 etkinlikleri, Mandiant
tarafından UNC1878 olarak izlenen eylemlerle örtüşüyor.

DEV-0365 altyapısının paylaşılan niteliklerinin doğasını çevreleyen belirsizlik ve kötü amaçlı etkinlikteki önemli farklılıklar nedeniyle, MSTIC,
CVE-2021-40444 etkinliği olarak tanımlanan ilk e-posta kampanyası istismarını DEV-0413 altında ayrı olarak kümeledi.

CVE-2021-40444 kullanan DEV-0413 kampanyası, DEV-0365 altyapısından yararlanarak belirlediğimiz diğer kötü amaçlı yazılım
kampanyalarından daha küçük ve daha hedefli. Bu kampanyanın en erken istismar girişimini 18 Ağustos'ta gözlemledik. Kampanyada kullanılan
ve başlangıçta Mandiant tarafından vurgulanan sosyal mühendislik cazibesi, hedeflenen kuruluşların ticari operasyonlarıyla uyumludur ve bir
dereceye kadar amaçlı hedefleme önermektedir. Kampanya, birden fazla uygulama geliştirme kuruluşunun hedeflendiği bir mobil uygulama
geliştiricisi aramayı amaçlıyordu. Çoğu durumda, CVE-2021-40444 yüklü cazibeyi sağlamak için dosya paylaşım hizmetleri kötüye kullanıldı.

Microsoft'un DEV-0413 kampanyasını izlerken, temel güvenlik ilkelerinin uygulanmadığı CVE-2021-40444 içeriğini barındıran aktif DEV-0413
altyapısını tespit ettiğini belirtmekte fayda var. DEV-0413, sunucuya erişebilen tarayıcı aracılarını kötü amaçlı yazılım implantları veya bilinen
hedeflerle sınırlamadı ve böylece web sunucuları için dizin listelenmesine izin verdi. Bunu yaparken, saldırganlar, sosyal medya tartışmalarına
dayanarak ilgi kazanmış olabilecek herkese istismarlarını ifşa ettiler.
Şekil 3. Uygulama geliştiricileri arayan orijinal DEV-0413 e-posta cazibesinin içeriği
Ağustos kampanyalarında DEV-0413 tarafından başarıyla güvenliği ihlal edilen en az bir kuruluş, CVE-2021-40444 saldırısından neredeyse iki
ay önce DEV-0365 altyapısıyla etkileşime giren benzer temalı bir kötü amaçlı yazılım dalgası tarafından daha önce ele geçirilmişti. Şu anda bu
organizasyonun yeniden hedeflenmesinin kasıtlı olup olmadığı bilinmiyor, ancak DEV-0413 ve DEV-0365 arasındaki bağlantıyı altyapı
paylaşımının ötesinde güçlendiriyor.

1 Eylül'deki daha sonraki bir DEV-0413 etkinliği dalgasında Microsoft, uygulama geliştiricilerini hedeflemekten bir "küçük talep mahkemesi"
yasal tehdidine doğru bir cazibe değişikliği belirledi.
Şekil 4. DEV-0413 tarafından kullanılan “Küçük talep mahkemesi” cazibesi örneği
Güvenlik açığı kullanım zaman çizelgesi
21 Ağustos 2021'de MSTIC, Cobalt Strike Beacon altyapısını izleme deneyimine sahip bir Mandiant çalışanının sosyal medya gönderisini
gözlemledi. Bu gönderi , 19 Ağustos 2021'de VirusTotal'a yüklenmiş bir Microsoft Word belgesini (SHA-
256: 3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf ) vurguladı. Gönderinin odak noktası, özel yükleyici Kobalt
Strike Beacon'u vurgulamaktı.

MSTIC örneği analiz etti ve belgedeki anormal bir oleObject ilişkisinin bir MHTML işleyicisi olan harici bir kötü amaçlı HTML kaynağını hedef
aldığını ve muhtemelen açıklanmayan bir güvenlik açığının kötüye kullanılmasına yol açtığını belirledi. MSTIC, hemen Microsoft Güvenlik
Yanıt Merkezi'ni devreye soktu ve bir azaltma ve yama üzerinde çalışmaya başladı. Bu süreç sırasında, MSTIC, konunun kamuoyunda
tartışılmasını azaltmak ve bir yama çıkana kadar sorunlara tehdit aktörlerinin dikkatini çekmekten kaçınmak için Mandiant'taki orijinal bulucu ile
işbirliği yaptı. Mandiant, MSTIC ile ortaklık kurdu ve kendi tersine mühendislik değerlendirmesini yaptı ve bulgularını MSRC'ye sundu.

7 Eylül 2021'de Microsoft, CVE-2021-40444 için kısmi bir geçici çözüm içeren bir güvenlik danışma belgesi yayınladı. Bu durumlarda rutin
olarak Microsoft, danışma belgesinde açıklanan algılamaların yerinde olmasını ve kamuya açıklanmadan önce bir düzeltme ekinin kullanıma
sunulmasını sağlamak için çalışıyordu. Aynı zamanda, üçüncü taraf bir araştırmacı, Mandiant tarafından orijinal olarak paylaşılan aynı
kampanyadan bir örneği Microsoft'a bildirdi. Bu örnek 8 Eylül'de kamuya açıklandı. 24 saat içinde istismar girişimlerinde artış gözlemledik.
 Şekil 5. 18 Ağustos'ta orijinal istismarı ve kamuya açıklama yapıldıktan sonra artan istismar girişimini gösteren grafik

Microsoft, durumu izlemeye ve gerçek kullanımdan testlerin çakışmasını gidermek için çalışmaya devam ediyor. Kamuya açıklanmasından bu
yana Microsoft, hizmet olarak fidye yazılımı bağlı kuruluşları da dahil olmak üzere birden fazla tehdit aktörünün, kamuya açıklanmış kavram
kanıtı kodunu araç setlerine benimsediğini gözlemledi. Daha fazla bilgi edindikçe güncellemeler sunmaya devam edeceğiz.

Saldırıları azaltmak
Microsoft, aşağıdaki saldırı yüzeyi azaltma kuralının , yayımlama sırasında CVE-2021-40444'ün kullanılmasıyla ilişkili etkinliği
engellediğini onaylamıştır :

 Tüm Office uygulamalarının alt süreçler oluşturmasını engelleyin

Bu tehdidin etkisini azaltmak için aşağıdaki azaltıcı önlemleri ve saldırganlar tarafından gerçekleştirilen sonraki eylemleri uygulayın.

 CVE-2021-40444 için güvenlik güncellemelerini uygulayın . Bu kampanyada kullanılan güvenlik açıklarını ele alan kapsamlı
güncellemeler, Eylül 2021 güvenlik güncellemelerinde mevcuttur .
 İşletim sistemlerinizin ve uygulamalarınızın en son sürümünü çalıştırın. Otomatik güncellemeleri açın veya en son güvenlik
güncellemelerini kullanıma sunulur sunulmaz dağıtın.
 Düzenli güvenlik güncellemelerinden yararlanmak için Windows 10 gibi desteklenen bir platform kullanın.
 Hızla gelişen saldırgan araçlarını ve tekniklerini kapsayacak şekilde Microsoft Defender Antivirus veya antivirüs ürününüzün
eşdeğerinde bulut tarafından sağlanan korumayı açın . Bulut tabanlı makine öğrenimi korumaları, yeni ve bilinmeyen varyantların
çoğunu engeller.
 Güvenlik ayarlarında kötü niyetli değişiklikleri önlemek için Microsoft Defender for Endpoint'te dış müdahale korumasını açın .
 EDR'yi blok modunda çalıştırın , böylece Microsoft Defender for Endpoint, Microsoft'a ait olmayan antivirüsünüz tehdidi
algılamadığında veya Microsoft Defender Antivirus pasif modda çalışırken bile kötü amaçlı yapıları engelleyebilir. Blok modundaki
EDR, ihlal sonrası tespit edilen kötü amaçlı yapıları düzeltmek için perde arkasında çalışır.
 Microsoft Defender for Endpoint'in ihlalleri çözmek için uyarılar üzerinde anında harekete geçmesine izin vermek için tam otomatik
modda araştırma ve düzeltmeyi etkinleştirin ve uyarı hacmini önemli ölçüde azaltın.
 Ağınızdaki yönetilmeyen cihazları bularak ve bunları Microsoft Defender for Endpoint'e dahil ederek ağınızda görünürlüğünüzü artırmak
için cihaz bulmayı kullanın .
Microsoft 365 Defender algılama ayrıntıları
antivirüs

Microsoft Defender Antivirus, tehdit bileşenlerini aşağıdaki kötü amaçlı yazılım olarak algılar:

 TrojanDownloader:O97M/Donoff.SA – Gözlenen saldırılarda Word Doc dosyalarını algılar

 TrojanDownloader:HTML/Donoff.SA – Uzaktan yüklenen HTML'yi algılar
 Trojan:Win32/Agent.SA — Gözlenen saldırılarda .inf(Dll)/CAB bileşenlerini algılar
 Trojan:Win32/CplLoader.A – Bu CVE istismarında kullanılan Rundll32/Control kötüye kullanımını engeller
 Behavior:Win32/OfficeMhtInj.A – wabmig.exe'ye enjeksiyonu algılar
 TrojanDownloader:O97M/Donoff.SA!CAB – Gözlenen saldırılarda CAB dosyalarını algılar
 TrojanDownloader:O97M/Donoff.SA!Gen – Gözlenen saldırılarda Office belgelerini algılar

Uç nokta algılama ve yanıt (EDR)

Güvenlik merkezinde aşağıdaki başlıklara sahip uyarılar, ağınızdaki tehdit etkinliğini gösterebilir:

 CVE-2021-40444'ün olası kullanımı (Aktif AV olarak Defender Antivirus gerektirir)

Aşağıdaki uyarılar, bu tehditle ilişkili tehdit etkinliğini de gösterebilir. Ancak bu uyarılar, ilgisiz tehdit faaliyetleri tarafından tetiklenebilir ve bu
raporla sağlanan durum kartlarında izlenmez.

 Office Uygulamasına Göre Şüpheli Davranış (bu CVE'den yararlanma sırasında meydana gelen anormal süreç başlatmalarını ve diğer
kötü niyetli davranışları algılar)
 Kontrol Paneli öğesinin şüpheli kullanımı

Office365 için Microsoft Defender

Microsoft Defender'dan gelen sinyaller Ofis 365 bilgi verir Microsoft 365 Etki alanları arası tehdit istihbaratını koordineli savunma sağlamak için
ilişkilendiren Defender, patlatma etkinleştirildiğinde bir belge e-posta yoluyla teslim edildiğinde bu güvenlik açığının algılandığını söyledi.
Portalınızdaki aşağıdaki uyarılar, bu uyarılar birçok farklı tehdit için kullanılsa da, kötü amaçlı bir ekin engellendiğini gösterecektir:

 Kötü amaçlı yazılım kampanyası algılandı ve engellendi

 Teslimattan sonra kötü amaçlı yazılım kampanyası algılandı
 Teslimattan sonra kötü amaçlı dosya içeren e-posta mesajları kaldırıldı

Gelişmiş avcılık
Olası yararlanma etkinliğini bulmak için aşağıdaki sorguları çalıştırın.

Göreli yol geçişi (Microsoft 365 Defender gerektirir)

Kontrol Paneli nesnelerinin (.cpl) kötüye kullanımını, orijinal saldırıda kullanıldığı şekliyle URL protokolü işleyici yolu geçişi yoluyla ortaya
çıkarmak için aşağıdaki sorguyu kullanın ve yayınlama sırasında kavramların herkese açık kanıtı:

DeviceProcessEvents
| where (FileName in~('control.exe','rundll32.exe') and ProcessCommandLine has '.cpl:')
or ProcessCommandLine matches regex @'\".[a-zA-Z]{2,4}:\.\.\/\.\.'