微软于 2021 年 9 月 7 日证实,Windows 10 中出现了一个远程代码执行(RCE)漏洞。该漏洞被归类为 CVE-2021-40444 [1],可使网络犯罪分子远程控制被入侵的系统,并在野外创建零日攻击。
该缺陷存在于 Internet Explorer 的浏览器渲染引擎 MSHTML 中。该引擎也用于 Microsoft Office 文档。据了解,CVE-2021-40444目前被用于发送Cobalt Strike有效载荷--一种常用的威胁仿真框架。
EXPMON 的一名研究人员在一条推文中首次发现了这一零日漏洞,他说:"Office 用户对 Office 文件要格外谨慎"。他们已于 9 月 5 日周日向微软报告了这一事件。此后不久,微软也发布了安全咨询,建议在公司调查期间采取变通方法。9 月 14 日,微软修复了该漏洞[2]。
攻击者如何利用 CVE-2021-40444
网络犯罪分子可能会在 Microsoft Office 文档(.docx)中制作恶意 ActiveX 控件。该文档充当 MSTHML 浏览器渲染引擎和 OLEObject 的主机,而 OLEObject 则指向构建的网页。
然后,攻击者必须欺骗目标打开该文件。打开后,MSTHML 引擎将利用 ActiveX 控件运行带有混淆脚本的 HTML 文件,然后下载恶意软件有效载荷或远程访问控件。
微软指出,与没有用户权限或用户权限较少的用户相比,拥有管理员权限的用户更容易受到此类攻击。
缓解和解决方法
微软建议,在 Internet Explorer 中禁用所有 ActiveX 控制安装可帮助减轻当前的攻击。这可以通过使用本地组策略编辑器更新注册表配置组策略来实现。禁用后,新的 ActiveX 控件将无法安装,而以前的 ActiveX 控件将继续运行。
Deep CDR 如何防范零日攻击
内容解除武装和重建(CDR)有助于降低与这一漏洞相关的风险。 Deep CDR假定所有文件都是恶意的,然后对文件组件进行消毒和重建,以确保安全内容的完全可用性。该技术可有效 "解除 "所有基于文件的威胁、复杂的沙盒感知威胁以及配备恶意软件规避技术(如完全无法检测的恶意软件或混淆)的威胁。
在这种情况下,Deep CDR 技术会删除文档文件中所有潜在的威胁对象,如 OLEObject 和 ActiveX。经过净化处理后,文档不再包含恶意 HTML 链接。
MetaDefender Cloud检测到的威胁已被扫描,扫描结果支持清除操作:
消毒后,结果显示 OLEObject 已被删除,文件可以安全打开:
关于Deep CDR
Deep CDR 技术是市场上的领先技术,具有多级归档处理、文件再生准确性和支持 100 多种文件类型等卓越功能。我们的技术能让您深入了解正在清除哪些数据以及如何清除这些数据,让您做出明智的选择并定义配置,以满足您的使用情况。结果如何?在几毫秒内消除 100% 威胁的安全文件,因此不会中断您的工作流程。
要了解有关Deep CDR 以及OPSWAT 如何保护贵组织的更多信息,请与我们的关键基础设施网络安全专家联系。
参考资料
[1] "Microsoft MSHTML 远程代码执行漏洞"。2021.微软安全响应中心。https://msrc.microsoft.com/upd...
[2] "Microsoft patches actively exploited MSHTML zero-day RCE (CVE-2021-40444)".2021 年 9 月 14 日。Help Net Security.https://www.helpnetsecurity.co...
