微軟周二警告稱，一個(gè)影響Internet Explorer的0 day漏洞被積極利用，該漏洞正被用來(lái)通過(guò)利用武器化的Office文檔來(lái)劫持易受攻擊的Windows系統(tǒng)。

該漏洞在針對(duì) Windows 10上的Office 365和Office 2019的針對(duì)性攻擊中被利用。

跟蹤為CVE-2021-40444(CVSS 分?jǐn)?shù)：8.8)，遠(yuǎn)程代碼執(zhí)行缺陷源于MSHTML(又名 Trident)，這是現(xiàn)已停產(chǎn)的Internet Explorer的專有瀏覽器引擎，在Office中用于在其中呈現(xiàn)Web內(nèi)容Word、Excel和PowerPoint文檔。

針對(duì) Office 365 的持續(xù)攻擊

該安全問(wèn)題被標(biāo)識(shí)為CVE-2021-40444，影響Windows Server2008 到2019和 Windows 8.1到10，其嚴(yán)重性級(jí)別為8.8(最高 10 級(jí))。

該公司在一份公告中表示，微軟意識(shí)到有針對(duì)性的攻擊，這些攻擊試圖通過(guò)向潛在受害者發(fā)送特制的Microsoft Office文檔來(lái)利用該安全漏洞。

但如果Microsoft Office以默認(rèn)配置運(yùn)行，即在受保護(hù)的視圖模式或Office 365的應(yīng)用程序防護(hù)中打開(kāi)來(lái)自Web的文檔，則攻擊會(huì)被阻止。

Protected View是一種只讀模式，禁用了大部分編輯功能，而Application Guard隔離不受信任的文檔，拒絕他們?cè)L問(wèn)公司資源、Intranet或系統(tǒng)上的其他文件。

具有活動(dòng)的Microsoft Defender Antivirus和Defender for Endpoint(內(nèi)部版本 1.349.22.0 及更高版本)的系統(tǒng)受益于防止嘗試?yán)肅VE-2021-40444的保護(hù)。

Microsoft的企業(yè)安全平臺(tái)會(huì)將有關(guān)此攻擊的警報(bào)顯示為“可疑Cpl文件執(zhí)行”。

來(lái)自多家網(wǎng)絡(luò)安全公司的研究人員發(fā)現(xiàn)并報(bào)告了該漏洞。在一條推文中，EXPMON(漏洞利用監(jiān)視器)表示，他們?cè)跈z測(cè)到針對(duì)Microsoft Office用戶的“高度復(fù)雜的0 day攻擊”后發(fā)現(xiàn)了該漏洞。

EXPMON研究人員在Windows 10 上重現(xiàn)了對(duì)最新 Office 2019 / Office 365 的攻擊。

EXPMON研究人員表示，襲擊者使用的.docx文件，打開(kāi)該文檔后，該文檔會(huì)加載 Internet Explorer引擎以呈現(xiàn)來(lái)自威脅參與者的遠(yuǎn)程網(wǎng)頁(yè)。

然后使用網(wǎng)頁(yè)中的特定ActiveX控件下載惡意軟件。執(zhí)行威脅是使用“一種稱為‘Cpl文件執(zhí)行’的技巧”完成的。

研究人員告訴BleepingComputer，攻擊方法是100%可靠的，這使得它非常危險(xiǎn)。

0-day攻擊的解決方法

微軟預(yù)計(jì)將發(fā)布安全更新作為其周二補(bǔ)丁月度發(fā)布周期的一部分，或者“根據(jù)客戶需求”發(fā)布帶外補(bǔ)丁。在此期間，Windows制造商敦促用戶和企業(yè)禁用Internet Explorer中的所有ActiveX控件，以減輕任何潛在的攻擊。

Windows 注冊(cè)表更新可確保所有站點(diǎn)的ActiveX都處于非活動(dòng)狀態(tài)，而已經(jīng)可用的 ActiveX控件將繼續(xù)運(yùn)行。

用戶應(yīng)使用 .REG 擴(kuò)展名保存下面的文件并執(zhí)行它以將其應(yīng)用于策略配置單元。系統(tǒng)重新啟動(dòng)后，應(yīng)應(yīng)用新配置。

由于CVE-2021-40444的更新尚不可用，因此他們發(fā)布了以下解決方法，以防止ActiveX 控件在Internet Explorer和嵌入瀏覽器的應(yīng)用程序中運(yùn)行。

要禁用 ActiveX 控件，請(qǐng)按照以下步驟操作：

打開(kāi)記事本并將以下文本粘貼到文本文件中。然后將文件另存為disable-activex.reg。確保您已啟用文件擴(kuò)展名的顯示以正確創(chuàng)建注冊(cè)表文件。

或者，您可以從此處下載注冊(cè)表文件。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/1]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/2]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/1]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/2]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3]

"1001"=dword:00000003

"1004"=dword:00000003

找到新創(chuàng)建的 disable-activex.reg并雙擊它。當(dāng)顯示 UAC 提示時(shí)，單擊“ 是” 按鈕以導(dǎo)入注冊(cè)表項(xiàng)。

重新啟動(dòng)計(jì)算機(jī)以應(yīng)用新配置。

重新啟動(dòng)計(jì)算機(jī)后，Internet Explorer 中的 ActiveX 控件將被禁用。

當(dāng) Microsoft 針對(duì)此漏洞提供官方安全更新時(shí)，您可以通過(guò)手動(dòng)刪除創(chuàng)建的注冊(cè)表項(xiàng)來(lái)刪除此臨時(shí)注冊(cè)表修復(fù)程序。

或者可以利用此reg文件自動(dòng)刪除條目。

微軟不斷披露的安全漏洞說(shuō)明，軟件中的安全漏洞為企業(yè)遭到網(wǎng)絡(luò)攻擊提供了巨大的潛在風(fēng)險(xiǎn)。作為網(wǎng)絡(luò)系統(tǒng)中最基礎(chǔ)的部分，軟件安全在網(wǎng)絡(luò)安全中起到重要的作用。尤其網(wǎng)絡(luò)犯罪團(tuán)伙不斷掃描網(wǎng)絡(luò)系統(tǒng)中的安全漏洞加以利用，提升軟件安全成為現(xiàn)有網(wǎng)絡(luò)防護(hù)手段的重要補(bǔ)充。建議企業(yè)在軟件開(kāi)發(fā)過(guò)程中及時(shí)通過(guò)源代碼安全檢測(cè)查找代碼缺陷及運(yùn)行時(shí)的安全漏洞，在編碼階段將可見(jiàn)的安全漏洞扼殺在搖籃，不給犯罪分子留下可乘之機(jī)，同時(shí)也能將企業(yè)修復(fù)漏洞成本降至較低水平。Wukong(悟空)靜態(tài)代碼檢測(cè)工具，從源碼開(kāi)始，為您的軟件安全保駕護(hù)航!

參讀鏈接：

www.woocoom.com/b021.html?i…

www.bleepingcomputer.com/news/securi…