Consulta técnica sobre FortiEDR
Descripción
Microsoft ha lanzado parches, mitigaciones y soluciones alternativas para abordar una vulnerabilidad de ejecución remota de código (CVE-2021-40444) en MSHTML que afecta a Microsoft Windows. La explotación de esta vulnerabilidad permite a un atacante remoto tomar el control de un sistema afectado mediante el uso de documentos de Microsoft Office especialmente diseñados. Esta vulnerabilidad ha sido detectada en exploits en estado salvaje.
CVE-2021-40444
Un atacante podría crear un control ActiveX malicioso para que lo use un documento de Microsoft Office que aloja el motor de representación del navegador. Luego, el atacante tendría que convencer al usuario para que abra el documento malicioso, que generalmente se envía a través de un correo electrónico de phishing. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativo.
Un archivo Docx se compone de una colección de archivos XML que se encuentran dentro de un archivo ZIP. El contenido del documento de Word se puede ver descomprimiendo su contenido. El contenido extraído del documento de exploit office se muestra a continuación. Contiene archivos de metadatos XML que contienen información sobre otros archivos disponibles en el archivo y también el contenido real del documento.
El archivo xml (_rels/document.xml.rels) contiene información de relación que le dice a MS Word dónde buscar recursos, como imágenes, incrustadas en el contenido del documento. Cada relación se identifica mediante una identificación de relación única y especifica el archivo al que se hace referencia como destino.
En el documento de explotación observado «A Letter before Court 4», los actores crearon el documento xml para tener un oleObject con el objetivo establecido como un archivo mshtml (side.html) alojado en el servidor del controlador del atacante. MSHTML fue utilizado principalmente por Internet Explorer, pero también lo utiliza Microsoft Office. Este componente permite a los desarrolladores agregar funciones de navegación web a sus propias aplicaciones.
El archivo de explotación side.html contiene un JavaScript ofuscado que descarga el archivo CAB del servidor controlado por el atacante. El formato de archivo CAB (gabinete) fue creado por Microsoft como un archivo autoinstalable, específicamente para controles ActiveX. El archivo side.html desofuscado se muestra a continuación. Descarga el archivo CAB usando XMLHttpRequest, extrae el archivo champion.inf de carga útil y luego lo ejecuta. El payload champion.inf es un dll con la extensión .inf para evitar la detección. Durante la instalación de ActiveX, el .cab se expande y el contenido se copia a la carpeta aleatoria en la máquina de la víctima. Debido a que el atacante desconoce esta ruta, se utiliza una técnica de cruce de ruta para navegar a varias carpetas en un intento de ejecutar la carga útil.
«.cpl:../../../championship.inf» es el comando activex utilizado para ejecutar la carga útil maliciosa. Cuando se especifica el parámetro de línea de comandos .cpl, el control se pasa al proceso binario del Panel de control de Windows (control.exe), que maneja la ejecución de los elementos del panel de control. Luego, Control.exe llama a rundll32.exe, que llama a la función de API Control_RunDLL en shell32.exe para ejecutar la carga útil. El adversario está utilizando Control.exe para la ejecución de la carga útil del proxy (championship.inf). Incluso si la carga útil no es un archivo .cpl, control.exe ejecuta la dll (carga útil) a través de su DllEntryPoint. Esta técnica permite que cualquier dll se ejecute en el contexto del Panel de control.
La carga útil (championship.inf) que se suelta y ejecuta a través de la vulnerabilidad MSHTML compromete con éxito la máquina víctima.
Solución
Detección y mitigación del exploit MSHTML con FortiEDR
Podemos observar el comportamiento previo y posterior a la ejecución cambiando el modo FortiEDR de prevención a simulación. Cuando EDR está configurado en modo de simulación, permite que la carga útil se ejecute por completo.
Pre-Ejecución
FortiEDR detecta la carga del archivo malicioso “championship.inf” e impide su ejecución, como lo demuestra el siguiente evento.
La política de prevención de ejecución en EDR desencadena el evento anterior y bloquea la ejecución de la carga útil.
Post-Ejecución
El siguiente evento es activado por la detección en tiempo real de FortiEDR cuando la carga útil maliciosa (championship.inf) invoca a PowerShell.
El análisis automatizado de FortiEDR enumera el proceso y la línea de comando que están involucrados en el evento desencadenado.
La telemetría de caza de amenazas v5 de FortiEDR captura el comportamiento de evasión de defensa cuando el adversario abusa de control.exe para realizar la ejecución de proxy de la carga útil maliciosa (T1218.002).
La carga útil se elimina con el comando de PowerShell «-c «Sleep 5; Remove-Item -Path «C:UsersWIn-10-x64AppDataLocalTempchampionship.inf» -Force». Este comportamiento es detectado y etiquetado por la telemetría de búsqueda de amenazas de FortiEDR.
MITRE ATT&CK:
Las siguientes son las técnicas MITRE observadas y las estrategias de mitigación recomendadas:
TA0002: Ejecución
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1059.001 | Intérprete de scripts y comandos: PowerShell | La carga útil maliciosa ejecuta el script de PowerShell para eliminarse después de la instalación. |
Mitigación | Si PowerShell no se usa en un entorno, simplemente buscar la ejecución de PowerShell puede detectar actividad maliciosa. |
¡Déjanos cualquier duda sobre FortiEDR aquí abajo!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!