Par Bhabesh Raj Rai, Associate Security Analytics Engineer
Le 7 septembre 2021, Microsoft a publié une alerte concernant une vulnérabilité zero-day (CVE-2021-40444) dans Microsoft MSHTML que des adversaires peuvent exploiter activement via des documents Microsoft Office. Microsoft a proposé des solutions pour permettre une mitigation temporaire en attendant la publication du correctif.
Cette faille zero-day est une vulnérabilité d’exécution de code à distance (RCE) dans MSHTML, qui est le moteur de navigateur propriétaire de Microsoft pour Internet Explorer. Les adversaires intègrent des contrôles ActiveX malveillants dans les documents Microsoft Office qui hébergent le moteur de rendu du navigateur. Les victimes n’ont plus qu’à ouvrir les documents malveillants pour que les adversaires pénètrent au sein de leur réseau.
Même si Microsoft a déclaré qu’Office ouvrait les documents provenant d’Internet en utilisant les fonctions ‘Vue Protégée’ (Protected View) ou ‘Application Guard pour Office’, lesquelles empêchaient l’attaque actuelle, le vecteur d’attaque RTF est toujours ouvert à une exploitation potentielle. De plus, les adversaires peuvent utiliser plusieurs autres solutions de contournement concernant la ‘Vue Protégée’. Ainsi, dans tous les cas, les administrateurs doivent s’assurer que la ‘Vue Protégée’ soit bien activée.
Trend Micro a pu observer la présence de balises Cobalt Strike après que des attaquants ont exploité cette faille. Les clients LogPoint peuvent se rendre sur notre blog pour consulter l’article concernant la détection des activités Cobalt Strike dans leur environnement.
Détection de l’exploitation de cette faille zero-day avec LogPoint
L’exploitation réussie de cette vulnérabilité zero-day via les documents Office entraîne la génération de control.exe par Office, que les analystes peuvent rechercher dans les événements de création de processus.
label="Process" label=Create
"process"="*\control.exe" parent_process IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"]
-command="*\control.exe input.dll"
Les administrateurs peuvent examiner de plus près les domaines suspects contactés par Office à l’aide des événements de registre de Sysmon. Les clients LogPoint peuvent se référer à notre configuration Sysmon de base pour détecter les menaces inoffensives et avancées.
norm_id=WindowsSysmon event_id=13
image IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"]
target_object="*\EnableBHO"
Microsoft a déclaré que l’Antivirus Microsoft Defender et Microsoft Defender for Endpoint (Microsoft Defender pour point de terminaison) détectaient les fichiers malveillants tant que les définitions étaient à jour. Les entreprises utilisant uniquement Microsoft Defender for Endpoint doivent s’assurer qu’elles aient bien placé leur système EDR en mode blocage.
label=Threat label=Detect threat="TrojanDownloader:O97M/Donoff.SA"
Nous conseillons aux administrateurs d’effectuer un balayage IoC à l’échelle de l’entreprise pour vérifier si leur organisation a été ciblée.
(domain IN ["joxinu.com", "hidusi.com", "dodefoh.com", "macuwuf.com"]
OR query IN ["joxinu.com", "hidusi.com", "dodefoh.com", "macuwuf.com"])
Cette faille sérieuse nécessite une chasse proactive
La détection des activités post-exploitation est un moyen pour les défenseurs de repérer une éventuelle exploitation des vulnérabilités zero-day dans leur environnement. La faille est très sérieuse et nous nous attendons à ce que les attaquants l’utilisent intensivement ces prochaines années. Étant donné qu’aucun correctif n’est encore disponible et que des solutions sont disponibles concernant les mesures de mitigation, les défenseurs au sein des entreprises doivent rester vigilants et rechercher de manière proactive les menaces au sein de leur réseau.