هکرها مشغول به اشتراک گذاشتن مطالبی درباره بهره‌برداری از باگ MSHTML هستند. آنها با قرار دادن محتوای آموزشی و کد بهره‌برداری در انجمن‌های اینترنتی به سایر هکرها کمک می‌کنند تا از این آسیب‌پذیری در حملات خود استفاده کنند.

سه‌شنبه هفته گذشته (16 شهریور) مایکروسافت از یک باگ روز صفر جدید در MSHTML ویندوز خبر داد که با شناسه CVE-2021-40444 شناخته می‌شود. این باگ به مهاجمان اجازه می‌دهد اسناد بدخواهانه از جمله فایل‌های آفیس و RTF ایجاد کنند و بدین وسیله روی کامپیوتر قربانی، کد اجرا کنند.

این باگ در حملاتی مورد سوء استفاده قرار گرفته است، بنابراین مایکروسافت تصمیم به انتشار این آسیب‌پذیری گرفت. این حملات توسط EXPMON و Mandiant کشف شده‌اند. هرچند هیچ به‌روزرسانی‌ای برای این آسیب‌پذیری وجود ندارد، اما مایکروسافت روش‌هایی برای کاهش خطر آن ارائه داده است.

راهکارهای ارائه شده توسط مایکروسافت، کنترل‌های ActiveX و پیش‌نمایش اسناد Word و RTF در ویندوز اکسپلورر را غیرفعال می‌کنند تا مانع تأثیرگذاری این باگ شوند. اما پژوهشگران موفق شدند کد بهره‌برداری را تغییر دهند و راهکار دفاعی مایکروسافت را دور بزنند.

وقتی مایکروسافت این روز صفر را منتشر کرد، محققان امنیتی توانستند به سرعت اسناد مخرب به کار رفته در حملات را پیدا کنند. آنها همچنین موفق شدند کد بهره‌برداری را بازتولید کنند، قابلیت‌های جدیدی به آن بیفزایند و یک بردار حمله جدید کشف کنند، اما از انتشار جزئیات آن خودداری کردند تا مهاجمان از این اطلاعات استفاده نکنند.

با این وجود، مهاجمان بیکار ننشستند و با استفاده از اطلاعات و نمونه اسناد مخربی که به طور آنلاین در دسترس بودند، کد بهره‌برداری را بازتولید کردند. آنها از روز پنجشنبه اطلاعاتی در مورد مؤلفه HTML کد بهره‌برداری و نحوه ساخت اسناد مخرب را منتشر کردند. روز جمعه نیز دستورالعمل‌های بیشتری درباره نحوه ساخت پیلود حمله و فایل CAB حاوی آسیب‌پذیری منتشر شد.

روز یکشنبه وقتی محققان جزئیات بیشتری را در گیتهاب و توییتر نوشتند، مهاجمان نیز اطلاعات کامل‌تری درباره جنبه‌های مختلف تولید کد بهره‌برداری منتشر کردند. استفاده از این اطلاعات آسان است و هر کسی می‌تواند با مراجعه به آن کد بهره‌برداری را توسعه دهد. حتی می‌توان با پایتون سروری راه‌اندازی کرد تا اسناد و فایل‌های CAB مخرب را توزیع کند.

خبر خوب این است که از زمان افشای آسیب‌پذیری، مایکروسافت دیفندر و سایر برنامه‌های امنیتی قادر به شناسایی و مسدود کردن اسناد و CABهای مورد استفاده در این حملات هستند. برای مثال، مایکروسافت دیفندر، کد بهره‌برداری را به عنوان  ‘Trojan:Win32/CplLoader.a’ و ‘TrojanDownloader:HTML/Donoff.SA’ شناسایی می‌کند.

علاوه بر آن، مایکروسافت توصیه کرده است که کنترل‌های ActiveX در اینترنت اکسپلورر (که به طور پیش‌فرض مسئول مدیریت پروتکل MSHTML است) مسدود شوند. همچنین بهتر است پیش‌نمایش اسناد در ویندوز اکسپلورر غیرفعال شود، زیرا پژوهشگران کشف کرده‌اند که با دیدن پیش‌نمایش یک سند در ویندوز اکسپلورر، امکان بهره‌برداری از این باگ وجود دارد.

هرچند این اقدامات مفید هستند، اما کد بهره‌برداری طوری تغییر داده شده است که از کنترل‌های ActiveX استفاده نکند و در نتیجه کاربران همچنان در معرض خطر خواهند بود. تا زمانی که مایکروسافت برای این باگ، به‌روزرسانی امنیتی منتشر کند، باید کاربران با احتیاط با فایل‌های ورد و RTF مواجه شوند و قبل از باز کردن این فایل‌ها، منبع آنها را به دقت بررسی کنند.