Un nuevo exploit puede bypassear un bug recientemente parchado de MSHTML

Expertos descubrieron una campaña de phishing que utiliza un exploit que pasa por alto un parche reciente desarrollado contra una falla de RCE. El exploit permite a los atacantes entregar malware Formbook.

Según los investigadores, los atacantes expertos están bypasseando la vulnerabilidad detallada como CVE-2021-40444, que afecta a los componentes de MSHTML.

La campaña más reciente detectada por Sophos Labs evita la protección del parche a través de un nuevo exploit de Office.

De este modo, los atacantes están ejecutando la campaña para distribuir el malware Formbook. Los investigadores además señalaron que este nuevo ataque es posible realizarse porque el parche tenía un enfoque demasiado pequeño, no abordando el problema por completo.

En el ataque reciente, los atacantes envían el maldoc en un archivo RAR especialmente diseñado.

El exploit modificado (CAB-less 40444) existió durante 36 horas entre el 24 y el 25 de octubre, durante las cuales se enviaron a las víctimas correos electrónicos no deseados cargados de archivos RAR mal formados.

El archivo RAR se carga con un script escrito en Windows Script Host junto con un documento de Word. Cuando se abre, se comunica con un servidor remoto que aloja código JavaScript malicioso.

El código JavaScript utiliza Word Document para iniciar el script WSH y ejecuta el comando PowerShell en el archivo RAR para obtener la carga útil del malware Formbook del sitio web de un atacante.

Aunque Microsoft había solucionado el problema de seguridad como parte de sus actualizaciones del clásico martes de parches, la falla aún se ha explotado en numerosos ataques desde que los detalles de la falla se hicieron públicos.

Microsoft además descubrió una campaña de phishing dirigida que explotaba una vulnerabilidad para implementar Cobalt Strike Beacons en sistemas Windows específicos utilizando documentos de Office.