Blog de McAfee Enterprise Defender | MSHTML CVE-2021-40444


Microsoft advierte a sus usuarios de una vulnerabilidad de día cero en Windows 10 y versiones de Windows Server que está siendo aprovechada por atacantes remotos no autenticados para ejecutar código en el sistema de destino utilizando documentos de oficina diseñados específicamente. Rastreado como CVE-2021-40444 (puntaje CVSS: 8.8), la falla de ejecución remota de código tiene sus raíces en MSHTML (también conocido como Trident), un motor de navegador patentado para Internet Explorer ahora descontinuado y que se usa en Microsoft Office para representar contenido web dentro de documentos de Word, Excel y PowerPoint. Esta vulnerabilidad se está explotando activamente y se deben implementar protecciones para evitarlo. Microsoft ha lanzado Guia en una solución alternativa, así como actualizaciones para evitar la explotación, pero a continuación se incluyen contramedidas adicionales de McAfee Enterprise que puede utilizar para proteger su negocio.

Campaña MVISION Insights – «CVE-2021-40444 – Vulnerabilidad de ejecución remota de código MSHTML de Microsoft»

Desde que se informó originalmente, la explotación de vulnerabilidades ha crecido en todo el mundo.

Figura 1. Marco más reciente de MITRE ATT & CK para la explotación de CVE-2021-40444. Fuente: MVISION Insights

Se han identificado técnicas adicionales de MITRE ATT & CK desde nuestro informe original. MVISION Insights se actualizará periódicamente con las últimas IOC y reglas de caza para la detección proactiva en su entorno.

Figura 2. Marco más reciente de MITRE ATT & CK para la explotación de CVE-2021-40444. Fuente: MVISION Insights

Protecciones de productos de McAfee Enterprise

Los siguientes productos de McAfee Enterprise pueden protegerlo contra esta amenaza.

Figura 3. Protección por módulo ENS

Para ENS, es importante tener tanto Threat Protection (TP) como Adaptive Threat Protection (ATP) con GTI habilitado. Estamos viendo el 50% de las detecciones basadas en las reglas de análisis de comportamiento de ATP.

Figura 4. Protección por módulo ENS

A continuación, se incluyen más detalles sobre la protección de endpoints, incluido MVISION EDR.

Prevención de exploits con McAfee ENS

McAfee Global Threat Intelligence (GTI) está detectando actualmente los IOC analizados para esta explotación. GTI se actualizará continuamente a medida que se observen nuevos indicadores en la naturaleza.

El módulo de prevención de amenazas de ENS puede proporcionar protecciones adicionales contra la explotación de CVE-2021-40444 hasta que se implemente un parche. La siguiente firma en Prevención de exploits ha mostrado cobertura en las pruebas de exploits observados; esta firma podría provocar falsos positivos, por lo que se recomienda encarecidamente realizar la prueba en el modo de informe o en entornos sandbox antes de realizar el bloqueo en entornos de producción.

Firma 2844: Vulnerabilidad de desbordamiento del búfer del módulo convertidor de Microsoft Word WordPerfect5

Varios personalizados Reglas de expertos se puede implementar para prevenir o detectar posibles intentos de explotación. Al igual que con todas las reglas expertas, pruébelas en su entorno antes de implementarlas ampliamente en todos los puntos finales. Se recomienda implementar esta regla en un modo de solo registro para comenzar.

Figura 5. Regla de experto para bloquear o registrar intentos de explotación

Figura 6. Regla de experto para bloquear o registrar intentos de explotación

Reglas ATP

El módulo Adaptive Threat Protection proporciona capacidad de bloqueo de comportamiento a través de inteligencia de amenazas, reglas destinadas a detectar actividad anormal de aplicaciones o cambios en el sistema y aprendizaje automático basado en la nube. Para aprovechar esta vulnerabilidad, el atacante debe obtener acceso a un sistema vulnerable, muy probablemente a través de Spearphishing con archivos adjuntos maliciosos. Estas reglas también pueden ser efectivas para prevenir el acceso y la ejecución iniciales. Se recomienda tener las siguientes reglas en el modo Observar al menos y monitorear los eventos de amenazas en ePO.

  • Regla 2: utilice la reputación empresarial para identificar archivos maliciosos.
  • Regla 4: use la reputación de archivos GTI para identificar archivos confiables o maliciosos
  • Regla 5: use la reputación de archivos GTI para identificar URL confiables o maliciosas
  • Regla 300: Evite que se abuse de las aplicaciones de oficina para entregar cargas útiles maliciosas
  • Regla 309: Evite que se abuse de las aplicaciones de oficina para entregar cargas útiles maliciosas
  • Regla 312: Evite que las aplicaciones de correo electrónico generen herramientas potencialmente maliciosas

Al igual que con todas las reglas de ATP, pruébelas en su entorno antes de implementarlas ampliamente en todos los puntos finales o activar el modo de bloqueo.

Utilización de MVISION EDR para la búsqueda de actividades de amenazas

La función de búsqueda en tiempo real en MVISION EDR brinda la capacidad de buscar en su entorno el comportamiento asociado con la explotación de esta vulnerabilidad de Microsoft. Consulte las consultas para localizar el módulo cargado «mshtml» asociado con varios procesos de aplicación.

Consulta uno de EDR

Procesos en los que Processes parentimagepath coincide con «winword | excel |powerpnt ”y Processes cmdline coincide con“ AppData / Local / Temp / | .inf | .dll ”y Processes imagepath termina con“ control.exe ”

Consulta dos de EDR

HostInfo hostname y LoadedModules donde LoadedModules process_name coincide con «winword | excel | powerpnt» y LoadedModules module_name contiene «mshtml» y LoadedModules module_name contiene «urlmon» y LoadedModules module_name contiene «wininet«

Además, la función de búsqueda histórica dentro de MVISION EDR permitirá la búsqueda de IOC incluso si un sistema está actualmente fuera de línea.

Figura 7. Uso de la búsqueda histórica para localizar IOC en todos los dispositivos. Fuente: MVISION EDR

McAfee Enterprise ha publicado el siguiente artículo de KB que se actualizará a medida que se publique más información y cobertura.

Cobertura de McAfee Enterprise para CVE-2021-40444: ejecución remota de código MSHTML

Mayor protección para el comportamiento de los actores de amenazas después de la explotación

Desde la divulgación pública de la vulnerabilidad, se ha observado a partir de la explotación exitosa de CVE-2021-40444 en la naturaleza que los actores de amenazas están utilizando una carga útil de Cobalt Strike para luego eliminar el ransomware más tarde en el entorno comprometido. La asociación entre esta vulnerabilidad y el ransomware apunta a la posibilidad de que el exploit se haya agregado a las herramientas utilizadas en el ecosistema de ransomware-as-a-service (RaaS).

Figura 8. CVE-2021-40444-attack-chain (Microsoft)

En el pasado, se sabía que las bandas de ransomware que se han observado en estos ataques utilizan las variantes de ransomware Ryuk y Conti.

Consulte a continuación las mitigaciones adicionales que se pueden utilizar en caso de que su entorno se vea comprometido y se necesiten protecciones adicionales para evitar más TTP.

BALIZA DE HUELGA DE COBALTO

Campaña MVISION Insights – Perfil de amenaza: CobaltStrike C2s

Endpoint Security – Protección avanzada contra amenazas:

Regla 2: utilice la reputación empresarial para identificar archivos maliciosos.

Regla 4: use la reputación de archivos GTI para identificar archivos confiables o maliciosos

Regla 517: Evite que el proceso de actor con reputación desconocida inicie procesos en carpetas comunes del sistema.

Protección contra ransomware de Ryuk

Campaña MVISION Insights – Perfil de amenaza: Ryuk Ransomware

Endpoint Security – Protección avanzada contra amenazas:

Regla 2: utilice la reputación empresarial para identificar archivos maliciosos.

Regla 4: use la reputación de archivos GTI para identificar archivos confiables o maliciosos

Regla 5: use la reputación de archivos GTI para identificar URL confiables o maliciosas

Endpoint Security – Protección de acceso:

Regla 1

Ejecutables (Incluir):

*

Subreglas:

Tipo de subregla: Archivos

Operaciones:

Crear

Objetivos (incluir):

*.Rico

Endpoint Security: prevención de exploits

Firma 6153: Comportamiento de malware: actividad de Ryuk Ransomware detectada

Protección contra ransomware Conti

Campaña MVISION Insights – Perfil de amenaza: Conti Ransomware

Endpoint Security – Protección avanzada contra amenazas:

Regla 2: utilice la reputación empresarial para identificar archivos maliciosos.

Regla 4: use la reputación de archivos GTI para identificar archivos confiables o maliciosos

Regla 5: use la reputación de archivos GTI para identificar URL confiables o maliciosas

Endpoint Security – Reglas personalizadas de protección de acceso:

Regla 1

Ejecutables (Incluir):

*

Subreglas:

Tipo de subregla: Archivos

Operaciones:

crear

Objetivos (incluir):

* conti_readme.txt

Endpoint Security: prevención de exploits

Signature 344: Creación de un nuevo programa de inicio





Enlace a la noticia original