Атака была возможна из-за узкой направленности патча и особенностей работы WinRAR.
Киберпреступники нашли способ обойти патч для уязвимости в программном обеспечении Microsoft Office и использовали его для распространения вредоносного ПО Formbook.
Уязвимость ( CVE-2021-40444 ) затрагивает формат файла MSHTML и ее эксплуатация позволяет удаленно выполнить код на уязвимых системах. Для успешной атаки злоумышленнику необходимо обманом заставить жертву открыть вредоносный документ.
Уязвимость была устранена в рамках вторника исправлений в сентябре 2021 года. Также был опубликован PoC-код для эксплуатации уязвимости. Предоставленный Microsoft патч предназначен для предотвращения выполнения кода для загрузки архива Microsoft Cabinet (CAB), содержащего вредоносный исполняемый файл. Однако похоже, что злоумышленники нашли способ обойти патч, включив документ Microsoft Word в специально созданный архив RAR.
По словам специалистов из компании Sophos, киберпреступники распространили архивы в рамках кампании по рассылке спама, которая длилась примерно 36 часов (24 и 25 октября). Предположительно, атака была всего лишь экспериментом.
Хакеры использовали PowerShell-скрипт для добавления вредоносного документа Word в архив, и как только жертва открывала архив для доступа к документу, скрипт выполнялся и устанавливал вредоносное ПО Formbook.
Как отметили эксперты, атака была возможна из-за узкой направленности патча и особенностей работы WinRAR. Поскольку текст скрипта появляется перед магическими байтами архива, процесс Windows Scripting Host wscript.exe успешно вызывает встроенную команду PowerShell в файле RAR.
Источник: securitylab