La vulnerabilidad CVE-2021-40444, se debe a una validación de entrada incorrecta dentro del componente MSHTML y se producía cuando un documento malicioso de Office recuperaba un malware en un archivo CAB (Microsoft Cabinet).
En las versiones iniciales de los exploits CVE-2021-40444, el documento malicioso de Office recuperaba una carga útil de malware empaquetada en un archivo Microsoft Cabinet (.CAB). Cuando el parche de Microsoft corrigió esta falla, los atacantes descubrieron que podían usar una cadena de ataque diferente al encerrar el documento malicioso en un archivo RAR especialmente diseñado. El archivo RAR, a su vez, incluía un script escrito en Windows Script Host (WSH) y un documento de Word que, al abrirse, se conectaba con un servidor remoto que alojaba un JavaScript malicioso.
El código JavaScript utilizó el documento de Word como un conducto para iniciar el script WSH y ejecutar un comando de PowerShell incrustado en el archivo RAR para recuperar la carga útil del malware Formbook de un sitio web controlado por el atacante.
Se recomienda además de instalar las actualizaciones correspondientes proveídas por Microsoft, habilitar todas las restricciones que evitarían que un usuario active accidentalmente un documento malicioso.
Referencias:
- https://www.cert.gov.py/wp-content/uploads/2022/02/BOL-CERT-PY-2021-20_Vulnerabilidad_de_ejecucion_de_codigo_remoto_en_Microsoft_MSHTML_en_productos_MS_Office.pdf
- https://news.sophos.com/en-us/2021/12/21/attackers-test-cab-less-40444-exploit-in-a-dry-run/
- https://thehackernews.com/2021/12/new-exploit-lets-malware-attackers.html
- https://nvd.nist.gov/vuln/detail/CVE-2021-40444
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444