微软周二紧急公告称,由于目前尚无修补程序,因此微软紧急提供缓解方法。

编号CVE-2021-40444的漏洞,位于Windows内微软浏览器引擎MSHTML,它用于早期微软浏览器如IE或旧版Edge,但也用于微软Office中。攻击者可编写内含恶意ActiveX控制的Office文件,由Office程序开启来触发。攻击者必须诱使用户开启Office文件,一旦成功,就可能在用户电脑上执行任意程序码,甚至接管整个系统。

CVE-2021-40444的风险值高达8.8。本漏洞并非权限升级类型,因此低权限用户安全风险会小于管理员帐号用户。

这项漏洞分别由EXPMON研究人员Haifei Li、Mandiant研究人员Dhanesh Kizhakkinan、Bryce Abdo及Genwei Jiang ,以及微软安全情报中心研究人员Rick Cole发现。

网络上已经有针对此漏洞的攻击活动。EXPMON侦测到锁定Office用户的进阶零时差攻击。

微软表示具体细节仍在调查中,意味着尚未有修补程序发布。目前已知受影响的Windows版本包括Windows 7、8.1、Windows 10(涵括1607、1809到20H2)、Server 2008、2012、2016。

但微软指出,Office预设开启来自网络上的文件时,都会启用「保护模式」或沙箱保护Application Guard for Office,两者都能防范攻击。但如果用户关闭保护模式来启用文件就会受害。

此外,通过微软的Defender Antivirus及Defender for Endpoint也能检测到。升级到1.349.22.0以后的Defender for Endpoint,就会提示「可疑的Cpl文件执行」警告。

微软建议,在Internet Explorer中禁用所有ActiveX控件可以缓解这种攻击。这可以通过更新注册表来实现。先前安装的ActiveX控件将继续运行,但不会暴露此漏洞。但微软也警告,如果不正确使用注册表编辑器,不但无法排除风险,还可能引发严重问题,从而导致需要重新安装操作系统。

参考资料:

[1]     https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

[2]     https://thehackernews.com/2021/09/new-0-day-attack-targeting-windows.html

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。