新闻资讯
全部分类

Windows RCE漏洞已有锁定Office用户的攻击,微软紧急提供缓解建议

  • 分类:行业洞察
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-09-09 11:41
  • 访问量:

【概要描述】

Windows RCE漏洞已有锁定Office用户的攻击,微软紧急提供缓解建议

【概要描述】

  • 分类:行业洞察
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-09-09 11:41
  • 访问量:
详情

【编者按】编号为CVE-2021-40444Windows远程代码执行漏洞已经有攻击活动,黑客可以通过传送恶意Office文件诱使用户开启以触发攻击,目前的官方修补尚未出炉,使用者对不明来源的文件应该提高警觉。

微软周二紧急公告称,由于目前尚于修补程序,因此微软紧急提供缓解方法。

编号CVE-2021-40444的漏洞,位于Windows内微软浏览器引擎MSHTML,它用于早期微软浏览器如IE或旧版Edge,但也用于微软Office中。攻击者可编写内含恶意ActiveX控制的Office文件,由Office程序开启来触发。攻击者必须诱使用户开启Office文件,一旦成功,就可能在用户电脑上执行任意程序码,甚至接管整个系统。

CVE-2021-40444的风险值高达8.8。本漏洞并非权限升级类型,因此低权限用户安全风险会小于管理员帐号用户。

这项漏洞分别由EXPMON研究人员Haifei LiMandiant研究人员Dhanesh KizhakkinanBryce AbdoGenwei Jiang ,以及微软安全情报中心研究人员Rick Cole发现。

网络上已经有针对此漏洞的攻击活动。EXPMON侦测到锁定Office用户的进阶零时差攻击。

微软表示具体细节仍在调查中,意味着尚未有修补程序发布。目前已知受影响的Windows版本包括Windows 78.1Windows 10(涵括1607180920H2)、Server 200820122016

但微软指出,Office预设开启来自网络上的文件时,都会启用「保护模式」或沙箱保护Application Guard for Office,两者都能防范攻击。但如果用户关闭保护模式来启用文件就会受害。

此外,通过微软的Defender AntivirusDefender for Endpoint也能检测到。升级到1.349.22.0以后的Defender for Endpoint,就会提示「可疑的Cpl文件执行」警告。

微软建议,在Internet Explorer中禁用所有ActiveX控件可以缓解这种攻击。这可以通过更新注册表来实现。先前安装的ActiveX控件将继续运行,但不会暴露此漏洞。但微软也警告,如果不正确使用注册表编辑器,不但无法排除风险,还可能引发严重问题,从而导致需要重新安装操作系统。

 

 

参考资料:

[1]  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

[2]  https://thehackernews.com/2021/09/new-0-day-attack-targeting-windows.html

 

相关文件

暂时没有内容信息显示
请先在网站后台添加数据记录。
天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号