Windows MSHTML遠端程式碼執行漏洞風險通告更新，騰訊安全支援全面檢測攔截

2021年9月8日，微軟官方釋出風險通告，公開了一個有關Windows MSHTML 的遠端程式碼執行漏洞。有攻擊者試圖透過使用特製的Office文件來利用此漏洞，該漏洞風險為高，騰訊安全已捕獲在野利用樣本，騰訊安全全系列產品已支援對該漏洞的惡意利用進行檢測攔截，建議Windows使用者警惕來歷不明的檔案，避免輕易開啟可疑文件。

漏洞詳情：

2021年9月8日，微軟官方釋出風險通告，公開了一個有關Windows MSHTML的遠端程式碼執行漏洞。攻擊者透過使用特製的Office文件來利用此漏洞，攻擊者製作惡意 ActiveX控制元件，欺騙說服目標使用者開啟惡意文件。與使用管理使用者許可權操作的使用者相比，帳戶配置為在系統上擁有較少使用者許可權的使用者受到的影響較小。

騰訊安全已捕獲在野利用，併成功構造漏洞PoC（概念驗證程式碼）驗證成功。騰訊安全專家提醒使用者小心處置來歷不明的文件，Office預設設定“受保護的檢視”可以減輕惡意檔案風險，建議Windows使用者密切關注該漏洞的進一步資訊，及時安裝安全補丁。

漏洞編號：

CVE-2021-40444

漏洞等級：

高風險，CVSS評分8.8

漏洞狀態：

受影響的版本：

漏洞影響包括Windows 7/8/8.1/10，Windows Server 2008/2012/2016/2019/2022等各個主流版本。

漏洞緩解措施：

漏洞暫無補丁，為0day狀態。騰訊安全專家提醒使用者小心處置來歷不明的文件，Office預設設定“受保護的檢視”可以減輕惡意檔案風險。

預設情況下，Microsoft Office 在保護檢視或開啟來自 Internet 的文件警告，這兩者都可以防止當前的攻擊。

在 Internet Explorer 中禁用所有 ActiveX 控制元件的安裝可以減輕這種攻擊。可以透過更新登錄檔為所有站點完成。先前安裝的 ActiveX 控制元件將繼續執行，但不會暴露此漏洞。

可以透過編輯登錄檔禁用ActiveX 控制元件的安裝：

將以下內容貼上到文字檔案中並使用 .reg 副檔名儲存，然後雙擊匯入登錄檔，重啟系統後生效。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

"1001"=dword:00000003

"1004"=dword:00000003

騰訊安全解決方案：

·  騰訊高階威脅檢測系統（NTA，御界）規則庫日期2021.9.9之後的版本已支援檢測利用Windows MSHTML 遠端程式碼執行漏洞(CVE-2021-40444)的攻擊；

·  騰訊主機安全（雲鏡）漏洞庫日期2021.9.9之後的版本已支援檢測Windows MSHTML 遠端程式碼執行漏洞風險；

·  騰訊零信任無邊界訪問控制系統（iOA）、騰訊電腦管家均已支援在終端系統檢測攔截利用Windows MSHTML 遠端程式碼執行漏洞的攻擊。

騰訊iOA檢測到漏洞攻擊

騰訊電腦管家攔截到漏洞攻擊

時間線：

2021.9.7，微軟官方釋出風險通告；

2021.9.8，騰訊安全釋出風險通告；

2021.9.9，漏洞POC、EXP及在野攻擊樣本均已出現。騰訊安全全系列產品支援對該漏洞的惡意利用進行檢測攔截。

參考連結：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444