不要隨便開啟Office文件,微軟又有高危0day漏洞

Editor發表於2021-09-09

圖片

編輯:左右裡


9月7日,微軟通告了一個高危的遠端程式碼執行漏洞,存在於瀏覽器渲染引擎MSHTML之中,編號為CVE-2021-40444,CVSS評分8.8。據微軟表示,已經監測到有黑客在利用這個漏洞對Windows系統發起攻擊。

 

攻擊者會向潛在受害者傳送專門製作的惡意Office文件,如果潛在受害者沒有防備地將其開啟,文件會載入Internet Explorer,然後通過使用特定的ActiveX控制元件下載惡意軟體。這種攻擊方式的可行性已得到安全研究人員證實。

ActiveX控制元件:廣泛應用於Microsoft Office和IE瀏覽器之中,利用ActiveX控制元件可與瀏覽器渲染引擎MSHTML進行互動


值得慶幸的是,如果Microsoft Office是使用預設配置執行,在受保護檢視模式或Office 365應用程式防護下開啟檔案,能有效阻止攻擊(受保護檢視是一種只讀模式,可禁用大部分編輯功能;Office 365應用程式防護會隔離不受信任的文件,拒絕對其他檔案的訪問請求)。

 

目前微軟尚未釋出安全更新,不過提供了一個臨時的應對策略——禁用在Internet Explorer中安裝的ActiveX控制元件。鑑於漏洞利用價值高且已被在野利用,微軟建議使用者立即採取應對措施。

 

要禁用ActiveX 控制元件,請嚴格按照以下步驟進行:

(警告:如果您錯誤地使用登錄檔編輯器,可能會導致嚴重問題,可能會需要重新安裝作業系統。)

1、開啟記事本,複製貼上以下內容,隨後將其儲存為.reg檔案。

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1001"=dword:00000003

"1004"=dword:00000003

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]

"1001"=dword:00000003

"1004"=dword:00000003

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]

"1001"=dword:00000003

"1004"=dword:00000003

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

"1001"=dword:00000003

"1004"=dword:00000003

 

2、雙擊剛才儲存的.reg檔案,點選允許對系統進行更改。

3、重啟系統使新配置生效。

 

如果之後更新了漏洞補丁或者出於其他原因要取消禁用ActiveX控制元件,刪除之前新增的登錄檔項即可。

 

資訊來源:Microsoft 安全響應中心

轉載請註明出處、作者和本文連結


圖片


推薦文章++++

全球頭號惡意軟體團伙TrickBot成員之一被逮捕

又一款黑客資料線,能夠記錄鍵盤輸入甚至控制裝置

Babuk勒索軟體原始碼公開,曾入侵併勒索華盛頓特區警察局

FTC對間諜軟體SpyFone發出禁令!命令其刪除非法收集的資料

非接觸式萬事達卡和Maestro卡被曝新漏洞!黑客可免密支付

微軟正式宣佈Win 11升級時間,仍缺少一個最關鍵功能

曾勒索卡普空的黑客組織解散,並向受害者免費公佈金鑰



圖片

公眾號ID:ikanxue

官方微博:看雪安全

商務合作:wsc@kanxue.com

相關文章