- 1Qt之信号与槽
- 2深入了解Kimi:月之暗面科技有限公司的创新智能助手_kimi 的能力
- 3【数据结构】CH4 串_第1关:求子串
- 4MySQL从安装、配置到日常操作和管理的关键步骤_mysql安装教程8.4
- 5python 中使用opencv_python使用opencv
- 6python3+selenium爬取笔记本电脑详情信息_selenium可以爬取pc端数据吗
- 7【通信中间件】Fdbus HelloWorld实例
- 8搭建单机版伪分布式Hadoop+Spark+Scala
- 9基于MySQL Workbench的表操作_mysql workbench向表中添加数据
- 10苹果app退款_app退款理由写什么好?苹果退款理由怎么写才好?
RCE高危漏洞预警:CVE-2021-40444简要分析
赞
踩
漏洞影响及其危害:未经身份验证的攻击者可以利用该漏洞在目标系统上执行代码。
Microsoft发布了一份关于此漏洞的官方公告。
这篇博客文章讨论了该漏洞如何发挥作用.。
我们已获得多个利用此漏洞的文档样本。文档包中的document.xml.rels文件中都包含以下代码:
请大家主要,存在一个URL(我们已删除),该URL下载一个名为side.html的文件(SHA-256:D0FD7ACC38B3105FACD699534242F28E45F5380FDF2EC93EA24BFBC1DC9E6)。该文件包含模糊的JavaScript,图2中的图像显示了部分未使用的代码。
在这段代码中可以看到几个动作:它下载一个.CAB文件,从所说的.CAB文件中提取一个.DLL文件,并使用路径遍历攻击来运行该文件(名为champosion.inf)。
最终,将执行champosion.inf文件,如下所示:
这个payload是Cobalt Strike的载荷(SHA-256: 6eedf45cb91f6762de4e35e36bcb03e5ad60ce9ac5a08caeb7eda035cd74762b)
EXP:
Github
https://github.com/klezVirus/CVE-2021-40444
攻击利用链:
1.打开Docx文件
2.document.xml.rels中存储了指向的恶意html网站链接
3.浏览器会自动打开网站链接
4.HTML中的JavaScript包含一个指向CAB文件的对象和一个指向INF文件的iframe.
5.CAB文件已打开,INF文件存储在%TEMP%\Low目录中
6.由于CAB中存在路径遍历(ZipSlip)漏洞,因此可以将INF存储在%TEMP%中
7.使用“.cpl:”指令打开INF文件,导致通过rundll32侧面加载INF文件
修复建议:
及时更新windows10至[1010.0.19043.1237]版本
关注公众号知柯信息安全(知柯信安)获取更多咨询
