不要隨便開啟Office文件，微軟又有高危0day漏洞

Editor發表於2021-09-09

編輯：左右裡

9月7日，微軟通告了一個高危的遠端程式碼執行漏洞，存在於瀏覽器渲染引擎MSHTML之中，編號為CVE-2021-40444，CVSS評分8.8。據微軟表示，已經監測到有駭客在利用這個漏洞對Windows系統發起攻擊。

攻擊者會向潛在受害者傳送專門製作的惡意Office文件，如果潛在受害者沒有防備地將其開啟，文件會載入Internet Explorer，然後透過使用特定的ActiveX控制元件下載惡意軟體。這種攻擊方式的可行性已得到安全研究人員證實。

ActiveX控制元件：廣泛應用於Microsoft Office和IE瀏覽器之中，利用ActiveX控制元件可與瀏覽器渲染引擎MSHTML進行互動

值得慶幸的是，如果Microsoft Office是使用預設配置執行，在受保護檢視模式或Office 365應用程式防護下開啟檔案，能有效阻止攻擊（受保護檢視是一種只讀模式，可禁用大部分編輯功能；Office 365應用程式防護會隔離不受信任的文件，拒絕對其他檔案的訪問請求）。

目前微軟尚未釋出安全更新，不過提供了一個臨時的應對策略——禁用在Internet Explorer中安裝的ActiveX控制元件。鑑於漏洞利用價值高且已被在野利用，微軟建議使用者立即採取應對措施。

要禁用ActiveX 控制元件，請嚴格按照以下步驟進行：

（警告：如果您錯誤地使用登錄檔編輯器，可能會導致嚴重問題，可能會需要重新安裝作業系統。）

1、開啟記事本，複製貼上以下內容，隨後將其儲存為.reg檔案。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

"1001"=dword:00000003

"1004"=dword:00000003

2、雙擊剛才儲存的.reg檔案，點選允許對系統進行更改。

3、重啟系統使新配置生效。

如果之後更新了漏洞補丁或者出於其他原因要取消禁用ActiveX控制元件，刪除之前新增的登錄檔項即可。

資訊來源：Microsoft 安全響應中心

轉載請註明出處、作者和本文連結

相關文章