[[423097]]

研究人員發(fā)現(xiàn)Windows MSHTML 0day漏洞利用，微軟發(fā)布預(yù)防措施。

近日，多個(gè)安全研究人員向微軟分別報(bào)告了MSHTML中的一個(gè)0 day遠(yuǎn)程代碼執(zhí)行漏洞。并發(fā)現(xiàn)了該漏洞的在野利用攻擊活動。

MSHTML是Windows中用來渲染web頁面的軟件組件。雖然主要與IE相關(guān)，但也用于其他版本，包括Skype、Outlook、Visual Studio等。

CVE-2021-40444

研究人員在MSHTML中發(fā)現(xiàn)的0 day漏洞CVE編號為CVE-2021-40444，cvss評分為8.8分。由于MSHTML 是IE的核心之一，該漏洞也存在于IE瀏覽器中。攻擊依賴于受害者打開一個(gè)惡意office文件時(shí)，MSHTML加載一個(gè)精心偽造的ActiveX控件。加載的ActiveX 控件可以運(yùn)行任意代碼來感染系統(tǒng)。所以攻擊者需要誘使受害者打開惡意文檔。由于沒有發(fā)布補(bǔ)丁，關(guān)于漏洞的更多技術(shù)細(xì)節(jié)尚未公開。

修復(fù)措施

目前，所有支持的Windows版本都受到該漏洞的影響，而且微軟發(fā)現(xiàn)有利于該漏洞的在野攻擊，但目前還沒有補(bǔ)丁，因此微軟提出多種方法來攔截相關(guān)的攻擊活動。

◼通過注冊表禁用所有ActiveX 控件的安裝。之前安裝的ActiveX 控件仍然可以運(yùn)行，但是不會再新增控件。禁用ActiveX 控件的方式如下，復(fù)制一下內(nèi)容到文本文件中，并保存為.reg文件擴(kuò)展：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 
"1001"=dword:00000003 
"1004"=dword:00000003 
  
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 
"1001"=dword:00000003 
"1004"=dword:00000003 
  
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 
"1001"=dword:00000003 
"1004"=dword:00000003 
  
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 
"1001"=dword:00000003 
"1004"=dword:00000003 

• 雙擊.reg文件并應(yīng)用到策略庫中;
• 重啟系統(tǒng)來確保新配置生效。

◼從IE保護(hù)視圖或office應(yīng)用保護(hù)功能打開文檔，這兩種方式都是默認(rèn)設(shè)置，且都可以預(yù)防該攻擊，但默認(rèn)設(shè)置可能被修改了。

本文翻譯自:https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/09/windows-mshtml-zero-day-actively-exploited-mitigations-required/如若轉(zhuǎn)載，請注明原文地址。