cve-2021-40444 - RunkIntel

# CVE-2021-40444 - MSHTML Remote Code Execution > [!critical] CVSS 8.8 - Exploração Ativa - CISA KEV > Execução remota de código no componente MSHTML do Windows explorada via documentos Office maliciosos - sem necessidade de macros. Adicionada ao CISA KEV em novembro de 2021 e amplamente utilizada por APTs e grupos de ransomware. ## Visão Geral O **CVE-2021-40444** é uma vulnerabilidade crítica de execução remota de código no componente **MSHTML** (motor de renderização do Internet Explorer), presente em todas as versões modernas do [[windows]] e utilizado pelo [[_microsoft|Microsoft Office]] para processar conteúdo HTML embutido em documentos. A falha permite que um atacante execute código arbitrário no sistema da vítima simplesmente induzindo-a a abrir um documento Office especialmente elaborado - sem necessidade de habilitar macros. A vulnerabilidade foi identificada em exploração ativa pelo grupo [[g0007-apt28|APT28]] em agosto de 2021, semanas antes do patch oficial da Microsoft em setembro de 2021. Após a divulgação pública e a disponibilização de provas de conceito, a técnica foi rapidamente adotada por grupos de ransomware, loaders de malware e campanhas de phishing em larga escala, tornando-se uma das CVEs mais exploradas de 2021-2022. A CISA a adicionou ao catálogo KEV em novembro de 2021 com prazo de remediação obrigatório para agências federais. O impacto é amplificado pela ubiquidade do Microsoft Office em ambientes corporativos e governamentais. A técnica é especialmente insidiosa porque o preview de documentos no Windows Explorer pode disparar a exploração em algumas configurações, sem que o usuário abra explicitamente o arquivo. ## Produtos Afetados | Produto | Versões Afetadas | Versão Corrigida | |---------|-----------------|-----------------| | Microsoft Windows 7 | Todas (32/64-bit) | KB5005633 | | Microsoft Windows 8.1 | Todas | KB5005627 | | Microsoft Windows 10 | 1507 até 21H1 | KB5005565 | | Microsoft Windows 11 | RTM | KB5006674 | | Microsoft Windows Server 2008 R2 | SP1 | KB5005633 | | Microsoft Windows Server 2012/R2 | Todas | KB5005627 | | Microsoft Windows Server 2016/2019/2022 | Todas | Patch Tuesday set/2021 | ## Descrição Técnica O componente MSHTML é utilizado pelo Office para renderizar conteúdo HTML embutido em documentos. A vulnerabilidade permite que um atacante crie um documento Office especialmente elaborado contendo um controle ActiveX malicioso: 1. Documento Office (.docx, .rtf) contém referência a um controle ActiveX externo 2. Ao abrir o documento, o Word/Office carrega o controle via MSHTML 3. O controle ActiveX malicioso executa código arbitrário no contexto do usuário 4. Sem necessidade de macros - o preview no Windows Explorer também pode disparar a exploração em algumas configurações - **Vetor**: Engenharia social - abertura de documento malicioso - **Privilégios requeridos**: Nenhum (ataca no contexto do usuário logado) - **Macros**: Não são necessárias ## Attack Flow ```mermaid graph TB A["🎯 Spear-phishing Documento Office malicioso"] --> B["📄 Abertura do arquivo .docx / .rtf armado"] B --> C["🔗 Carregamento MSHTML Controle ActiveX externo"] C --> D["💥 Execução de código No contexto do usuário"] D --> E["📦 Entrega de payload Cobalt Strike / malware"] E --> F["🔑 Acesso inicial Movimento lateral"] style A fill:#e74c3c,color:#ecf0f1 style D fill:#e67e22,color:#ecf0f1 style F fill:#9b59b6,color:#ecf0f1 ``` ## Exploração e Contexto de Ameaça O [[g0007-apt28|APT28]] (Fancy Bear) utilizou esta vulnerabilidade em campanhas de espionagem direcionadas, enviando documentos Office via spear-phishing para alvos no setor [[government]] e [[defense]]. A exploração inicial foi detectada em agosto de 2021, semanas antes do patch da Microsoft em setembro de 2021. Após a divulgação pública e disponibilização de PoC, a vulnerabilidade foi amplamente adotada: - Grupos de ransomware a utilizaram para acesso inicial - Loaders como **BazarLoader** e **Trickbot** foram adaptados - Campanhas de phishing em larga escala distribuíram documentos armados visando os setores [[financial]] e [[technology]] - Campanha detectada explorava a técnica para entregar **Cobalt Strike** em ambientes corporativos ## Contexto LATAM > [!latam] Impacto no Brasil e América Latina > Documentos Office são o principal vetor de ataque em ambientes corporativos brasileiros. A prevalência do Microsoft Office no setor governamental, financeiro e em empresas de médio porte tornou esta CVE de alto impacto nacional. O CERT.br incluiu alertas sobre esta vulnerabilidade em seus boletins de setembro e outubro de 2021. Grupos de crime cibernético brasileiros incorporaram a técnica em campanhas de phishing contra colaboradores de bancos e órgãos governamentais, frequentemente disfarçando o documento malicioso como boleto ou intimação judicial - vetores de engenharia social altamente eficazes no contexto brasileiro. ## Mitigação 1. **Aplicar** o patch do Patch Tuesday de setembro de 2021 (KB correspondente à versão do Windows) 2. **Mitigação imediata** (pré-patch): Desabilitar a instalação de controles ActiveX no Internet Explorer via chave de registro 3. **Desabilitar** o preview de documentos no Windows Explorer 4. **Atualizar** Microsoft Defender e habilitar proteção em tempo real 5. **Configurar** regras ASR (Attack Surface Reduction) no Microsoft Defender for Endpoint para bloquear criação de processos filhos pelo Office ``` # Mitigação via registro (pré-patch) reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0" /v 1001 /t REG_DWORD /d 3 /f ``` ## Detecção e Resposta > [!warning] Aviso sobre as regras abaixo > As regras e consultas a seguir são **exemplos e pontos de partida**. Devem ser revisadas, > testadas e adaptadas ao seu ambiente específico antes de serem implantadas em produção. > Falsos positivos e negativos são esperados - tuning contínuo é necessário. Valide sempre > contra sua telemetria antes de ativar alertas. ### Splunk SPL ```spl index=windows (sourcetype=XmlWinEventLog:Microsoft-Windows-Sysmon/Operational OR sourcetype=WinEventLog:Security) (EventCode=1 OR EventCode=4688) parent_process_name IN ("winword.exe", "excel.exe", "powerpnt.exe", "outlook.exe", "wordpad.exe") process_name="control.exe" | eval chain="Office → control.exe (CVE-2021-40444)" | table _time, host, user, parent_process_name, process_name, process, parent_process, cmdline ``` ### Microsoft Sentinel (KQL) ```kql DeviceProcessEvents | where TimeGenerated > ago(7d) | where InitiatingProcessFileName in~ ("winword.exe", "excel.exe", "powerpnt.exe", "outlook.exe", "wordpad.exe") | where FileName =~ "control.exe" | project TimeGenerated, DeviceName, AccountName, InitiatingProcessFileName, FileName, ProcessCommandLine, InitiatingProcessCommandLine, SHA256 | order by TimeGenerated desc ``` ### Sigma Rule ```yaml title: Detect CVE-2021-40444 Exploitation Attempt - Office Spawning control.exe id: 3b4e8b8a-f2d1-4c9e-87ab-de1234567890 status: experimental description: > Detecta tentativas de exploração de CVE-2021-40444 - MSHTML RCE via documento Office malicioso. logsource: category: process_creation product: windows detection: selection: ParentImage|endswith: - '\winword.exe' - '\excel.exe' - '\powerpnt.exe' - '\wordpad.exe' - '\outlook.exe' Image|endswith: '\control.exe' filter_legitimate: CommandLine|contains: - 'input.dll' condition: selection and not filter_legitimate level: high tags: - attack.execution - attack.t1203 - cve.2021-40444 ``` ## Notas Relacionadas - Explorada por: [[g0007-apt28|APT28]] - Técnica de acesso inicial: [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - Técnica de execução: [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] - Técnica de persistência: [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - Afeta setor: [[government]], [[financial]], [[technology]] - Relacionada a: [[cve-2023-23397|CVE-2023-23397]] (mesmo ator, mesmo produto) ## Referências - [Microsoft MSRC Advisory CVE-2021-40444](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444) - [CISA Known Exploited Vulnerabilities](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [CERT.br Boletim](https://www.cert.br/) - [NVD - CVE-2021-40444](https://nvd.nist.gov/vuln/detail/CVE-2021-40444)