Recent, Microsoft a raportat o vulnerabilitate la executarea codului la distanță CVE-2021-40444 în motorul browserului Internet Explorer, numit MSHTML. Potrivit companiei, această vulnerabilitate a fost deja utilizată în atacuri țintite împotriva utilizatorilor Microsoft Office, iar Microsoft a lansat un patch pentru aceasta pe data de 14 septembrie 2021. În perioada 10 – 15 septembrie, experții Kaspersky au înregistrat încercări de a exploata această vulnerabilitate în atacurile împotriva a 167 de dispozitive ale utilizatorilor din cadrul organizațiilor din diverse domenii precum institute de cercetare, sectorul energetic și marile companii industriale, sectoarele de dezvoltare a tehnologiei medicale, precum și sectorul telecomunicațiilor și IT.
Motorul MSHTML este o componentă a programului, utilizată în diverse aplicații, care rulează pe diferite sisteme de operare moderne, atât pe partea de utilizator, cât și pe cea a serverului. Acest motor este responsabil pentru afișarea conținutului paginii web (imagini, fonturi și alte fișiere).
Atacatorii au creat un document MS Office, având un artifact care conține un link către un script rău intenționat. Dacă un utilizator deschidea documentul, MS Office descărca și executa scriptul rău intenționat. Apoi, scriptul putea utiliza controalele ActiveX pentru a efectua acțiuni rău intenționate pe computerul victimei. În prezent, observăm diferite tipuri de programe malware, mai ales backdoors, care sunt livrate prin exploatarea acestei vulnerabilități.
„Ne așteptăm ca această nouă vulnerabilitate să fie utilizată în mod activ, în special în atacurile împotriva sectorului corporativ. Organizațiile mici și mijlocii riscă în mod special să fie vizate, deoarece atacatorii mai puțin pricepuți din punct de vedere tehnic învață și ei să abuzeze de această vulnerabilitate. Din acest motiv, este extrem de important să instalați actualizările recente pentru toate programele”, spune Evgeny Lopatin, Head of Advanced Threat Detection la Kaspersky.
Mai multe detalii despre această vulnerabilitate sunt disponibile pe Securelist.
Pentru a nu fi victima acestei vulnerabilități, experții Kaspersky recomandă:
- Urmați instrucțiunile Microsoft Windows https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
- Business-urile folosesc o soluție de securitate care oferă informații despre vulnerabilități, gestionarea patch-urilor și componente de prevenire a exploiturilor, cum ar fi Kaspersky Endpoint Security for Business. Componenta de prevenire automată a exploiturilor monitorizează acțiunile suspecte ale aplicațiilor și blochează execuțiile de fișiere rău intenționate.
- Utilizarea de soluții precum Kaspersky Endpoint Detection and Response și service-ul Kaspersky Managed Detection and Response, care ajută la identificarea și oprirea atacului în primele etape, înainte ca atacatorii să își atingă obiectivele finale.
- Educarea angajaților pentru a proteja activitatea online a companiei. Cursurile de instruire dedicate pot ajuta, cum ar fi cele furnizate în Kaspersky Automated Security Awareness Platform.
- Folosirea celor mai recente informații Threat Intelligence pentru a fi la curent cu TTP-urile reale utilizate de infractori.
