2021 年 9 月 8 日,微软官网公布危险通告,公开了一个无关 Windows MSHTML 的近程代码执行破绽。有攻击者试图通过应用特制的 Office 文档来利用此破绽,该破绽危险为高,腾讯平安已捕捉在朝利用样本,腾讯平安全系列产品已反对对该破绽的歹意利用进行检测拦挡,倡议 Windows 用户警觉来历不明的文件,防止轻易关上可疑文档。
破绽详情:
2021 年 9 月 8 日,微软官网公布危险通告,公开了一个无关 Windows MSHTML 的近程代码执行破绽。攻击者通过应用特制的 Office 文档来利用此破绽,攻击者制作歹意 ActiveX 控件,坑骗压服指标用户关上歹意文档。与应用治理用户权限操作的用户相比,帐户配置为在零碎上领有较少用户权限的用户受到的影响较小。
腾讯平安已捕捉在朝利用,并胜利结构破绽 PoC(概念验证代码)验证胜利。腾讯平安专家揭示用户小心处理来历不明的文档,Office 默认设置“受爱护的视图”能够加重歹意文件危险,倡议 Windows 用户亲密关注该破绽的进一步信息,及时装置安全补丁。
破绽编号:
CVE-2021-40444
破绽等级:
高风险,CVSS 评分 8.8
破绽状态:
受影响的版本:
破绽影响包含 Windows 7/8/8.1/10,Windows Server 2008/2012/2016/2019/2022 等各个支流版本。
破绽缓解措施:
破绽暂无补丁,为 0day 状态。腾讯平安专家揭示用户小心处理来历不明的文档,Office 默认设置“受爱护的视图”能够加重歹意文件危险。
默认状况下,Microsoft Office 在爱护视图或关上来自 Internet 的文档正告,这两者都能够避免以后的攻打。
在 Internet Explorer 中禁用所有 ActiveX 控件的装置能够加重这种攻打。能够通过更新注册表为所有站点实现。先前装置的 ActiveX 控件将持续运行,但不会裸露此破绽。
能够通过编辑注册表禁用 ActiveX 控件的装置:
将以下内容粘贴到文本文件中并应用 .reg 文件扩展名保留,而后双击导入注册表,重启零碎后失效。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003
腾讯平安解决方案:
· 腾讯高级威逼检测零碎(NTA,御界)规定库日期 2021.9.9 之后的版本已反对检测利用 Windows MSHTML 近程代码执行破绽 (CVE-2021-40444) 的攻打;
· 腾讯主机平安(云镜)破绽库日期 2021.9.9 之后的版本已反对检测 Windows MSHTML 近程代码执行破绽危险;
· 腾讯零信赖无边界拜访控制系统(iOA)、腾讯电脑管家均已反对在终端零碎检测拦挡利用 Windows MSHTML 近程代码执行破绽的攻打。
腾讯 iOA 检测到破绽攻打
腾讯电脑管家拦挡到破绽攻打
工夫线:
2021.9.7,微软官网公布危险通告;
2021.9.8,腾讯平安公布危险通告;
2021.9.9,破绽 POC、EXP 及在朝攻打样本均已呈现。腾讯平安全系列产品反对对该破绽的歹意利用进行检测拦挡。
参考链接:
https://msrc.microsoft.com/up…