Windows MSHTML遠端程式碼執行漏洞風險通告更新,騰訊安全支援全面檢測攔截
2021年9月8日,微軟官方釋出風險通告,公開了一個有關Windows MSHTML 的遠端程式碼執行漏洞。有攻擊者試圖透過使用特製的Office文件來利用此漏洞,該漏洞風險為高,騰訊安全已捕獲在野利用樣本,騰訊安全全系列產品已支援對該漏洞的惡意利用進行檢測攔截,建議Windows使用者警惕來歷不明的檔案,避免輕易開啟可疑文件。
漏洞詳情:
2021年9月8日,微軟官方釋出風險通告,公開了一個有關Windows MSHTML的遠端程式碼執行漏洞。攻擊者透過使用特製的Office文件來利用此漏洞,攻擊者製作惡意 ActiveX控制元件,欺騙說服目標使用者開啟惡意文件。與使用管理使用者許可權操作的使用者相比,帳戶配置為在系統上擁有較少使用者許可權的使用者受到的影響較小。
騰訊安全已捕獲在野利用,併成功構造漏洞PoC(概念驗證程式碼)驗證成功。騰訊安全專家提醒使用者小心處置來歷不明的文件,Office預設設定“受保護的檢視”可以減輕惡意檔案風險,建議Windows使用者密切關注該漏洞的進一步資訊,及時安裝安全補丁。
漏洞編號:
CVE-2021-40444
漏洞等級:
高風險,CVSS評分8.8
漏洞狀態:
公開披露 | POC | EXP | 在野利用 |
已公開 | 已公開 | 已公開 | 已發現 |
受影響的版本:
漏洞影響包括Windows 7/8/8.1/10,Windows Server 2008/2012/2016/2019/2022等各個主流版本。
漏洞緩解措施:
漏洞暫無補丁,為0day狀態。騰訊安全專家提醒使用者小心處置來歷不明的文件,Office預設設定“受保護的檢視”可以減輕惡意檔案風險。
預設情況下,Microsoft Office 在保護檢視或開啟來自 Internet 的文件警告,這兩者都可以防止當前的攻擊。
在 Internet Explorer 中禁用所有 ActiveX 控制元件的安裝可以減輕這種攻擊。可以透過更新登錄檔為所有站點完成。先前安裝的 ActiveX 控制元件將繼續執行,但不會暴露此漏洞。
可以透過編輯登錄檔禁用ActiveX 控制元件的安裝:
將以下內容貼上到文字檔案中並使用 .reg 副檔名儲存,然後雙擊匯入登錄檔,重啟系統後生效。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003
騰訊安全解決方案:
· 騰訊高階威脅檢測系統(NTA,御界)規則庫日期2021.9.9之後的版本已支援檢測利用Windows MSHTML 遠端程式碼執行漏洞(CVE-2021-40444)的攻擊;
· 騰訊主機安全(雲鏡)漏洞庫日期2021.9.9之後的版本已支援檢測Windows MSHTML 遠端程式碼執行漏洞風險;
· 騰訊零信任無邊界訪問控制系統(iOA)、騰訊電腦管家均已支援在終端系統檢測攔截利用Windows MSHTML 遠端程式碼執行漏洞的攻擊。
騰訊iOA檢測到漏洞攻擊
騰訊電腦管家攔截到漏洞攻擊
時間線:
2021.9.7,微軟官方釋出風險通告;
2021.9.8,騰訊安全釋出風險通告;
2021.9.9,漏洞POC、EXP及在野攻擊樣本均已出現。騰訊安全全系列產品支援對該漏洞的惡意利用進行檢測攔截。
參考連結:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
相關文章
- Apache Log4j2遠端程式碼執行漏洞風險緊急通告,騰訊安全支援全面檢測攔截Apache
- Apache存在Log4j2遠端程式碼執行漏洞 騰訊安全助力企業檢測攔截Apache
- 【安全公告】PHP多個遠端程式碼執行漏洞風險預警PHP
- 高危!Fastjson反序列化遠端程式碼執行漏洞風險通告,請儘快升級ASTJSON
- SMB遠端程式碼執行漏洞CVE-2020-0796安全通告
- 修復Apache Log4j任意程式碼執行漏洞安全風險通告Apache
- crash_for_windows_pkg遠端程式碼執行漏洞Windows
- PHP CGI Windows下遠端程式碼執行漏洞PHPWindows
- 網站漏洞檢測 squid反向代理存在遠端程式碼執行漏洞網站UI
- ThinkPHP遠端程式碼執行漏洞PHP
- phpunit 遠端程式碼執行漏洞PHP
- VxWorks釋出安全更新修復多個高危遠端程式碼執行漏洞
- Windows遠端桌面服務漏洞預警通告Windows
- Joomla遠端程式碼執行漏洞分析OOM
- OpenWRT 曝遠端程式碼執行漏洞
- Struts2遠端程式碼執行漏洞檢測的原理和程式碼級實現
- 勒索軟體利用IE漏洞掛馬傳播,騰訊零信任iOA、騰訊電腦管家支援檢測攔截
- 最新漏洞:Spring Framework遠端程式碼執行漏洞SpringFramework
- RCE(遠端程式碼執行漏洞)原理及漏洞利用
- 什麼是遠端程式碼執行漏洞?
- ThinkPHP 5.0.23 遠端程式碼執行漏洞PHP
- Discuz! X系列遠端程式碼執行漏洞分析
- .NET Remoting 遠端程式碼執行漏洞探究REM
- WindowsJScript元件曝遠端程式碼執行漏洞WindowsJS元件
- log4j遠端程式碼執行漏洞
- 【核彈級漏洞】關於Apache Log4j 2遠端程式碼執行漏洞風險提示Apache
- Win10高危漏洞遭黑產攻擊!騰訊安全緊急響應全面攔截Win10
- Chrome 77釋出,修復遠端程式碼執行漏洞!請儘快更新!Chrome
- 嚴重PHP漏洞使威聯通裝置面臨遠端程式碼執行風險PHP
- 國家漏洞庫CNNVD:關於微信Windows客戶端遠端程式碼執行漏洞的預警CNNWindows客戶端
- Apache Struts 再曝高危遠端程式碼執行漏洞Apache
- Struts2遠端程式碼執行漏洞預警
- Windows漏洞:MS08-067遠端程式碼執行漏洞復現及深度防禦Windows
- Windows更新+中間人=遠端命令執行Windows
- Log4j遠端程式碼執行漏洞漫談
- 這些華碩路由器存在遠端程式碼執行漏洞,請立即更新韌體路由器
- 微信域名攔截檢測
- 烽火狼煙丨Laravel遠端程式碼執行漏洞(CVE-2021-43503)風險提示Laravel