微軟周二警告稱，一個影響Internet Explorer的0 day漏洞被積極利用，該漏洞正被用來通過利用武器化的Office文檔來劫持易受攻擊的Windows系統(tǒng)。

該漏洞在針對 Windows 10上的Office 365和Office 2019的針對性攻擊中被利用。

跟蹤為CVE-2021-40444(CVSS 分?jǐn)?shù)：8.8)，遠(yuǎn)程代碼執(zhí)行缺陷源于MSHTML(又名 Trident)，這是現(xiàn)已停產(chǎn)的Internet Explorer的專有瀏覽器引擎，在Office中用于在其中呈現(xiàn)Web內(nèi)容Word、Excel和PowerPoint文檔。

針對 Office 365 的持續(xù)攻擊

該安全問題被標(biāo)識為CVE-2021-40444，影響Windows Server2008 到2019和 Windows 8.1到10，其嚴(yán)重性級別為8.8(最高 10 級)。

該公司在一份公告中表示，微軟意識到有針對性的攻擊，這些攻擊試圖通過向潛在受害者發(fā)送特制的Microsoft Office文檔來利用該安全漏洞。

但如果Microsoft Office以默認(rèn)配置運行，即在受保護(hù)的視圖模式或Office 365的應(yīng)用程序防護(hù)中打開來自Web的文檔，則攻擊會被阻止。

Protected View是一種只讀模式，禁用了大部分編輯功能，而Application Guard隔離不受信任的文檔，拒絕他們訪問公司資源、Intranet或系統(tǒng)上的其他文件。

具有活動的Microsoft Defender Antivirus和Defender for Endpoint(內(nèi)部版本 1.349.22.0 及更高版本)的系統(tǒng)受益于防止嘗試?yán)肅VE-2021-40444的保護(hù)。

Microsoft的企業(yè)安全平臺會將有關(guān)此攻擊的警報顯示為“可疑Cpl文件執(zhí)行”。

來自多家網(wǎng)絡(luò)安全公司的研究人員發(fā)現(xiàn)并報告了該漏洞。在一條推文中，EXPMON(漏洞利用監(jiān)視器)表示，他們在檢測到針對Microsoft Office用戶的“高度復(fù)雜的0 day攻擊”后發(fā)現(xiàn)了該漏洞。

EXPMON研究人員在Windows 10 上重現(xiàn)了對最新 Office 2019 / Office 365 的攻擊。

EXPMON研究人員表示，襲擊者使用的.docx文件，打開該文檔后，該文檔會加載 Internet Explorer引擎以呈現(xiàn)來自威脅參與者的遠(yuǎn)程網(wǎng)頁。

然后使用網(wǎng)頁中的特定ActiveX控件下載惡意軟件。執(zhí)行威脅是使用“一種稱為‘Cpl文件執(zhí)行’的技巧”完成的。

研究人員告訴BleepingComputer，攻擊方法是100%可靠的，這使得它非常危險。

0-day攻擊的解決方法

微軟預(yù)計將發(fā)布安全更新作為其周二補丁月度發(fā)布周期的一部分，或者“根據(jù)客戶需求”發(fā)布帶外補丁。在此期間，Windows制造商敦促用戶和企業(yè)禁用Internet Explorer中的所有ActiveX控件，以減輕任何潛在的攻擊。

Windows 注冊表更新可確保所有站點的ActiveX都處于非活動狀態(tài)，而已經(jīng)可用的 ActiveX控件將繼續(xù)運行。

用戶應(yīng)使用 .REG 擴展名保存下面的文件并執(zhí)行它以將其應(yīng)用于策略配置單元。系統(tǒng)重新啟動后，應(yīng)應(yīng)用新配置。

由于CVE-2021-40444的更新尚不可用，因此他們發(fā)布了以下解決方法，以防止ActiveX 控件在Internet Explorer和嵌入瀏覽器的應(yīng)用程序中運行。

要禁用 ActiveX 控件，請按照以下步驟操作：

打開記事本并將以下文本粘貼到文本文件中。然后將文件另存為disable-activex.reg。確保您已啟用文件擴展名的顯示以正確創(chuàng)建注冊表文件。

或者，您可以從此處下載注冊表文件。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/1]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/2]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/1]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/2]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3]

"1001"=dword:00000003

"1004"=dword:00000003

找到新創(chuàng)建的 disable-activex.reg并雙擊它。當(dāng)顯示 UAC 提示時，單擊“ 是” 按鈕以導(dǎo)入注冊表項。

重新啟動計算機以應(yīng)用新配置。

重新啟動計算機后，Internet Explorer 中的 ActiveX 控件將被禁用。

當(dāng) Microsoft 針對此漏洞提供官方安全更新時，您可以通過手動刪除創(chuàng)建的注冊表項來刪除此臨時注冊表修復(fù)程序。

或者可以利用此reg文件自動刪除條目。

微軟不斷披露的安全漏洞說明，軟件中的安全漏洞為企業(yè)遭到網(wǎng)絡(luò)攻擊提供了巨大的潛在風(fēng)險。作為網(wǎng)絡(luò)系統(tǒng)中最基礎(chǔ)的部分，軟件安全在網(wǎng)絡(luò)安全中起到重要的作用。尤其網(wǎng)絡(luò)犯罪團(tuán)伙不斷掃描網(wǎng)絡(luò)系統(tǒng)中的安全漏洞加以利用，提升軟件安全成為現(xiàn)有網(wǎng)絡(luò)防護(hù)手段的重要補充。建議企業(yè)在軟件開發(fā)過程中及時通過源代碼安全檢測查找代碼缺陷及運行時的安全漏洞，在編碼階段將可見的安全漏洞扼殺在搖籃，不給犯罪分子留下可乘之機，同時也能將企業(yè)修復(fù)漏洞成本降至較低水平。Wukong(悟空)靜態(tài)代碼檢測工具，從源碼開始，為您的軟件安全保駕護(hù)航!

參讀鏈接：

www.woocoom.com/b021.html?i…

www.bleepingcomputer.com/news/securi…