目前的网络安全研究发现了一种短期的净捕鱼活动,利用一个独特的缺陷,通过补丁传播表格恶意软件,从而绕过微软MSHTML组件的远程代码执行差距。
根据互联网安全行业门户“GeerkNB”, COM的组合。MSHTML远程代码执行缺陷CVE-2021-4044(CVSS评级:8)是我们对2011年埃及抗议的特别报道的一部分。为了利用缺陷 创建一份微软办公室的单一文件尽管微软在更新时已经弥补了安全缺陷,但它已证明是成功的。然而,既然这一差距的具体细节已经公布,它被用于若干次攻击。
安全研究人员称,CVE-2021-4044的原始版本,受感染的办公室文件可进入储存在微软档案柜中的恶意软件装载,储存在微软档案柜中的恶意软件负荷可进入微软档案柜中的恶意软件负荷。在微软修补了这个弱点后,袭击者通过在特定的RAR压缩文档中附上恶意文件,发现他们可以绕过并利用泄漏来建立替代供应链。
CAB-less 40444,这是对“渗漏准入方案”的更新。它在10月24日和25日之间持续了36小时。在此期间,潜在受害者获得垃圾邮件,包括结构不正确的RAR档案档案。反过来,使用 Windows 脚本主机 (WSH) 开发的脚本和 Word 文档包含在 RAR 文件中 。此文档将与位于远程站点的恶意 JavaScript 打开 。
为了从攻击者控制的网站下载表格恶意软件负载, JavaScript 代码将Word 文档作为激活 WSH 脚本和在 RR 文件中执行嵌入的 PowerShell 指令的路径。
为什么这个洞只用了几个小时就消失了?提示是, WinAR 应用程序的上一个版本无法使用已更改的 RAR 压缩文件 。因此,出乎意料的是,使用WinAR较早版本的人将比使用最新版本的人得到更好的保护。