微軟周二警告稱,一個影響Internet Explorer的0 day漏洞被積極利用,該漏洞正被用來通過利用武器化的Office文檔來劫持易受攻擊的Windows系統。
該漏洞在針對 Windows 10上的Office 365和Office 2019的針對性攻擊中被利用。
跟蹤為CVE-2021-40444(CVSS 分數:8.8),遠程代碼執行缺陷源于MSHTML(又名 Trident),這是現已停產的Internet Explorer的專有瀏覽器引擎,在Office中用于在其中呈現Web內容Word、Excel和PowerPoint文檔。
針對 Office 365 的持續攻擊
該安全問題被標識為CVE-2021-40444,影響Windows Server2008 到2019和 Windows 8.1到10,其嚴重性級別為8.8(最高 10 級)。
該公司在一份公告中表示,微軟意識到有針對性的攻擊,這些攻擊試圖通過向潛在受害者發送特制的Microsoft Office文檔來利用該安全漏洞。
但如果Microsoft Office以默認配置運行,即在受保護的視圖模式或Office 365的應用程序防護中打開來自Web的文檔,則攻擊會被阻止。
Protected View是一種只讀模式,禁用了大部分編輯功能,而Application Guard隔離不受信任的文檔,拒絕他們訪問公司資源、Intranet或系統上的其他文件。
具有活動的Microsoft Defender Antivirus和Defender for Endpoint(內部版本 1.349.22.0 及更高版本)的系統受益于防止嘗試利用CVE-2021-40444的保護。
Microsoft的企業安全平臺會將有關此攻擊的警報顯示為“可疑Cpl文件執行”。
來自多家網絡安全公司的研究人員發現并報告了該漏洞。在一條推文中,EXPMON(漏洞利用監視器)表示,他們在檢測到針對Microsoft Office用戶的“高度復雜的0 day攻擊”后發現了該漏洞。
EXPMON研究人員在Windows 10 上重現了對最新 Office 2019 / Office 365 的攻擊。
EXPMON研究人員表示,襲擊者使用的.docx文件,打開該文檔后,該文檔會加載 Internet Explorer引擎以呈現來自威脅參與者的遠程網頁。
然后使用網頁中的特定ActiveX控件下載惡意軟件。執行威脅是使用“一種稱為‘Cpl文件執行’的技巧”完成的。
研究人員告訴BleepingComputer,攻擊方法是100%可靠的,這使得它非常危險。
0-day攻擊的解決方法
微軟預計將發布安全更新作為其周二補丁月度發布周期的一部分,或者“根據客戶需求”發布帶外補丁。在此期間,Windows制造商敦促用戶和企業禁用Internet Explorer中的所有ActiveX控件,以減輕任何潛在的攻擊。
Windows 注冊表更新可確保所有站點的ActiveX都處于非活動狀態,而已經可用的 ActiveX控件將繼續運行。
用戶應使用 .REG 擴展名保存下面的文件并執行它以將其應用于策略配置單元。系統重新啟動后,應應用新配置。
由于CVE-2021-40444的更新尚不可用,因此他們發布了以下解決方法,以防止ActiveX 控件在Internet Explorer和嵌入瀏覽器的應用程序中運行。
要禁用 ActiveX 控件,請按照以下步驟操作:
打開記事本并將以下文本粘貼到文本文件中。然后將文件另存為disable-activex.reg。確保您已啟用文件擴展名的顯示以正確創建注冊表文件。
或者,您可以從此處下載注冊表文件。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3]
"1001"=dword:00000003
"1004"=dword:00000003
找到新創建的 disable-activex.reg并雙擊它。當顯示 UAC 提示時,單擊“ 是” 按鈕以導入注冊表項。
重新啟動計算機以應用新配置。
重新啟動計算機后,Internet Explorer 中的 ActiveX 控件將被禁用。
當 Microsoft 針對此漏洞提供官方安全更新時,您可以通過手動刪除創建的注冊表項來刪除此臨時注冊表修復程序。
或者可以利用此reg文件自動刪除條目。
微軟不斷披露的安全漏洞說明,軟件中的安全漏洞為企業遭到網絡攻擊提供了巨大的潛在風險。作為網絡系統中最基礎的部分,軟件安全在網絡安全中起到重要的作用。尤其網絡犯罪團伙不斷掃描網絡系統中的安全漏洞加以利用,提升軟件安全成為現有網絡防護手段的重要補充。建議企業在軟件開發過程中及時通過源代碼安全檢測查找代碼缺陷及運行時的安全漏洞,在編碼階段將可見的安全漏洞扼殺在搖籃,不給犯罪分子留下可乘之機,同時也能將企業修復漏洞成本降至較低水平。Wukong(悟空)靜態代碼檢測工具,從源碼開始,為您的軟件安全保駕護航!
參讀鏈接:
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/119833.html
