微软于 2021 年 9 月 7 日证实,Windows 10 中出现了一个远程代码执行(RCE)漏洞。该漏洞被归类为 CVE-2021-40444 [1],可使网络犯罪分子远程控制被入侵的系统,并在野外创建零日攻击。
该缺陷存在于 Internet Explorer 的浏览器渲染引擎 MSHTML 中。该引擎也用于 Microsoft Office 文档。据了解,CVE-2021-40444目前被用于发送Cobalt Strike有效载荷--一种常用的威胁仿真框架。
EXPMON 的一名研究人员在一条推文中首次发现了这一零日漏洞,他说:"Office 用户对 Office 文件要格外谨慎"。他们已于 9 月 5 日周日向微软报告了这一事件。此后不久,微软也发布了安全咨询,建议在公司调查期间采取变通方法。9 月 14 日,微软修复了该漏洞[2]。
攻击者如何利用 CVE-2021-40444
网络犯罪分子可能会在 Microsoft Office 文档(.docx)中制作恶意 ActiveX 控件。该文档充当 MSTHML 浏览器渲染引擎和 OLEObject 的主机,而 OLEObject 则指向构建的网页。
然后,攻击者必须欺骗目标打开该文件。打开后,MSTHML 引擎将利用 ActiveX 控件运行带有混淆脚本的 HTML 文件,然后下载恶意软件有效载荷或远程访问控件。
微软指出,与没有用户权限或用户权限较少的用户相比,拥有管理员权限的用户更容易受到此类攻击。
缓解和解决方法
微软建议,在 Internet Explorer 中禁用所有 ActiveX 控制安装可帮助减轻当前的攻击。这可以通过使用本地组策略编辑器更新注册表配置组策略来实现。禁用后,新的 ActiveX 控件将无法安装,而以前的 ActiveX 控件将继续运行。
Deep CDR™ 技术如何防范零日攻击
内容无害化与重建(CDR)技术有助于缓解与该漏洞相关的风险。Deep CDR™ 技术默认所有文件均为恶意文件,随后对文件组件进行净化和重建,以确保文件在内容安全的前提下保持完全可用性。该技术能够有效“无害化”所有基于文件的威胁、复杂的威胁以及具备沙箱感知能力的威胁,还能应对采用恶意软件规避技术的威胁,例如完全无法被检测到的恶意软件或采用混淆技术的恶意软件。
在这种情况下,Deep CDR™ 技术会从文档文件中清除所有潜在威胁对象,例如 OLEObject 和 ActiveX。经过清理后,文档中将不再包含恶意 HTML 链接。
MetaDefender Cloud检测到的威胁已被扫描,扫描结果支持清除操作:
消毒后,结果显示 OLEObject 已被删除,文件可以安全打开:
关于 Deep CDR™ 技术
Deep CDR™ 技术凭借多级归档处理、精准的文件重建以及对 100 多种文件格式的支持等卓越特性,已成为市场领导者。我们的技术可深入展示待清理的数据内容及清理过程,助您做出明智决策并定义配置以满足具体应用场景。结果如何?在几毫秒内即可生成安全文件,彻底消除 100% 的威胁,确保您的工作流程不受干扰。
如需进一步了解 Deep CDR™ 技术以及OPSWAT 如何OPSWAT 您的组织OPSWAT 保护,请咨询我们的关键基础设施网络安全专家。
参考资料
[1] "Microsoft MSHTML 远程代码执行漏洞"。2021.微软安全响应中心。https://msrc.microsoft.com/upd...
[2] "Microsoft patches actively exploited MSHTML zero-day RCE (CVE-2021-40444)".2021 年 9 月 14 日。Help Net Security.https://www.helpnetsecurity.co...
