Bug MSHTML usato per distribuire Cobalt Strike

Bug MSHTML usato per distribuire Cobalt Strike

Microsoft ha confermato che la vulnerabilità presente in MSHTML (risolta il 14 settembre) è stata sfruttata per distribuire il loader Cobalt Strike.
Microsoft ha confermato che la vulnerabilità presente in MSHTML (risolta il 14 settembre) è stata sfruttata per distribuire il loader Cobalt Strike.

Microsoft ha rilevato attacchi che sfruttano la vulnerabilità CVE-2021-40444 scoperta in MSHTML, il vecchio motore di rendering di Internet Explorer, ancora supportato da Office. L'azienda di Redmond ha scoperto che l'exploit pubblico è stato utilizzato per distribuire il loader Cobalt Strike.

Aggiornare il sistema operativo

La presenza della vulnerabilità zero-day in MSHTML era stata confermata da Microsoft il 7 settembre. Il bollettino di sicurezza includeva due soluzioni temporanee, ovvero l'uso della modalità Visualizzazione protetta di Office e la disattivazione dei controlli ActiveX. Alcuni ricercatori hanno tuttavia scoperto che il primo workaround non è efficace. Martedì 14 settembre è stata rilasciata la patch che risolve il problema.

Ciò non fermerà ovviamente i cybercriminali perché ci sono sicuramente utenti (aziende in particolare) che non possono installare l'aggiornamento per qualche motivo. Microsoft ha infatti rilevato alcuni attacchi effettuati tramite documenti, simili a quelli originali, che contenevano il codice usato per distribuire il loader Cobalt Strike. Quest'ultimo consente di eseguire diverse azioni sul computer della vittima, tra cui l'installazione di ransomware.

Microsoft ha rilevato un deciso incremento dei tentativi di attacco, in seguito alla divulgazione delle prime informazioni sulla vulnerabilità. Come detto, la patch è disponibile dal 14 settembre, quindi è fortemente consigliato aggiornare il sistema operativo.

CVE-2021-40444 è una delle numerose vulnerabilità sfruttate per attacchi ransomware. Alcuni ricercatori di sicurezza hanno compilato un elenco, indicando i software utilizzati come “punto di ingresso”:

Ransomware CVE

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

19 09 2021
Link copiato negli appunti