近日,奇安信CERT监测到微软紧急发布Microsoft MSHTML 远程代码执行漏洞通告,漏洞编号为CVE-2021-40444。Microsoft MSHTML引擎存在远程代码执行漏洞,攻击者可通过制作带有恶意 ActiveX 控件的Microsoft Office文档并诱导用户打开此文档来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。目前,微软官方暂未发布针对此漏洞的补丁程序,鉴于此漏洞已被检测到在野利用,建议受影响的客户尽快自查并采用措施缓解此漏洞。
当前漏洞状态
细节是否公开 | PoC状态 | EXP状态 | 在野利用 |
否 | 未知 | 未知 | 已发现 |
漏洞描述
近日, 奇安信CERT监测到微软紧急发布Microsoft MSHTML 远程代码执行漏洞通告,漏洞编号为CVE-2021-40444。MSHTML(又称为Trident)是微软旗下的Internet Explorer 浏览器引擎,虽然 MHTML 主要用于已被弃用的 Internet Explorer 浏览器,但该组件也用于 Office 应用程序,以在 Word、Excel 或 PowerPoint 文档中呈现 Web 托管的内容。
Microsoft MSHTML引擎存在远程代码执行漏洞,攻击者可通过制作带有恶意 ActiveX 控件的Microsoft Office 文档并诱导用户打开此文档来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。
微软在通告中提到,Microsoft Defender Antivirus 和 Microsoft Defender for Endpoint 都为已知漏洞提供检测和保护。客户应及时更新反恶意软件产品。使用自动更新的客户无需采取额外措施。管理更新的企业客户应选择检测版本 1.349.22.0 或更高版本,并在其环境中部署它。Microsoft Defender for Endpoint 警报将显示为:“可疑的 Cpl 文件执行”。
目前,此漏洞已被检测到在野利用,且微软官方暂未发布针对此漏洞的补丁程序,建议采用第五章处置建议中提到的缓解措施进行缓解。
CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞
漏洞名称 | Microsoft MSHTML远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 重要 | 漏洞ID | CVE-2021-40444 |
公开状态 | 已公开 | 在野利用 | 已发现 | ||
漏洞描述 | Microsoft MSHTML引擎存在远程代码执行漏洞,攻击者可通过制作带有恶意 ActiveX 控件的Microsoft Office 文档并诱导用户打开此文档来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444 |
风险等级
奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)
影响范围
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server, version 2004 (Server Core installation)
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
处置建议
目前微软官方并未发布针对此漏洞的补丁程序,在 Internet Explorer 中禁用所有 ActiveX 控件的安装可以缓解这种攻击。这可以通过更新注册表为所有站点完成。使用此方法先前安装的 ActiveX 控件将继续运行,不会触发此漏洞。
警告:如果注册表编辑器使用不当,可能会导致严重的问题,可能需要重新安装操作系统。建议做好备份再执行以下操作:
使用注册表文件禁用 ActiveX 控件:
1、将以下内容粘贴到文本文件中并使用 .reg 文件扩展名保存:
Windows Registry Editor Version5.00
[HKEY_LOCAL_MACHINE\\\\\\\\\\\\\\\\SOFTWARE\\\\\\\\\\\\\\\\Policies\\\\\\\\\\\\\\\\Microsoft\\\\\\\\\\\\\\\\Windows\\\\\\\\\\\\\\\\CurrentVersion\\\\\\\\\\\\\\\\Internet Settings\\\\\\\\\\\\\\\\Zones\\\\\\\\\\\\\\\\0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\\\\\\\\\\\\\\\\SOFTWARE\\\\\\\\\\\\\\\\Policies\\\\\\\\\\\\\\\\Microsoft\\\\\\\\\\\\\\\\Windows\\\\\\\\\\\\\\\\CurrentVersion\\\\\\\\\\\\\\\\Internet Settings\\\\\\\\\\\\\\\\Zones\\\\\\\\\\\\\\\\1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\\\\\\\\\\\\\\\\SOFTWARE\\\\\\\\\\\\\\\\Policies\\\\\\\\\\\\\\\\Microsoft\\\\\\\\\\\\\\\\Windows\\\\\\\\\\\\\\\\CurrentVersion\\\\\\\\\\\\\\\\Internet Settings\\\\\\\\\\\\\\\\Zones\\\\\\\\\\\\\\\\2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\\\\\\\\\\\\\\\\SOFTWARE\\\\\\\\\\\\\\\\Policies\\\\\\\\\\\\\\\\Microsoft\\\\\\\\\\\\\\\\Windows\\\\\\\\\\\\\\\\CurrentVersion\\\\\\\\\\\\\\\\Internet Settings\\\\\\\\\\\\\\\\Zones\\\\\\\\\\\\\\\\3]
"1001"=dword:00000003
"1004"=dword:00000003
2、双击 .reg 文件以将其应用到您的策略配置单元。
3、重新启动系统以确保应用新配置。
注:这会将 64 位和 32 位进程的所有 Internet 区域的URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) 和 URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) 设置为 DISABLED (3)。不会安装新的 ActiveX 控件。以前安装的 ActiveX 控件将继续运行。
撤消缓解措施:
删除在采用此缓解措施时添加的注册表项。
参考资料
[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
时间线
2021年9月8日,奇安信 CERT发布安全风险通告
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。