La semana pasada Microsoft Threat Intelligence Center (MSTIC) identificó ataques que intentaban aprovechar una vulnerabilidad de ejecución remota de código en MSHTML rastreada como CVE-2021-40444, la cual utiliza documentos de Microsoft Office especialmente diseñados para distribuir cargadores de Cobalt Strike Beacon, como suele ser el caso esto podría permitir que un atacante tome el control del sistema afectado
Según Kaspersky a podido identificar ataques que se encuentran ocurriendo en todo el mundo, dirigidos a empresas del sector de investigación, desarrollo, energético, bancario, medicina, telecomunicaciones y sector industrial.
Los actores maliciosos aprovechan esta vulnerabilidad a partir del envío de correos electrónicos con documentos adjuntos o archivos ubicados en repositorios. Estos documentos al ser ejecutados descargan un script malicioso que se encuentran en URL externas comprometidas y luego se ejecuta usando el motor MSHTML, dando como resultado la descarga de un archivo CAB que contiene una DLL. La DLL recupera el código de la shell remota y realiza la descarga de un archivo malicioso que en las investigaciones es Cobal Strike Beacon personalizado
Actualmente existen varios PoCs disponibles que permiten crear documentos maliciosos que explotan la vulnerabilidad CVE-2021-40444 por ejemplo el repositorio LocKedbyte. Por ese motivo Microsoft recomienda realizar las actualizaciones de seguridad correspondiente que abordan la vulnerabilidad de MSHTML y seguir las buenas prácticas de seguridad.
