微軟於 2021 年 9 月 7 日證實 Windows 10 發生遠端程式碼執行 (RCE) 漏洞。此漏洞被歸類為 CVE-2021-40444 [1],可讓網路罪犯遠端控制被入侵的系統,並在野外製造零時差攻擊。
該缺陷存在於 Internet Explorer 中的瀏覽器呈現引擎 MSHTML 中。該引擎也用於 Microsoft Office 檔案中。目前已知 CVE-2021-40444 可用於傳送 Cobalt Strike 有效載荷 - 一個常被利用的威脅模擬架構。
EXPMON 的一位研究員在一條推文中首次發現了這個零時差漏洞,他說:「Office 用戶對 Office 檔案要格外謹慎」。他們已於 9 月 5 日(星期日)向微軟報告此事。微軟也在不久之後發布了安全諮詢,在公司調查的同時提出了一些解決方案。9 月 14 日,微軟修復了該漏洞 [2]。
攻擊者如何利用 CVE-2021-40444
網路罪犯可能會在 Microsoft Office 檔案(.docx)內製作惡意 ActiveX 控制項。此檔案會作為 MSTHML 瀏覽器渲染引擎和 OLEObject 的主機,而 OLEObject 則會指向所建立的網頁。
攻擊者必須欺騙目標開啟此檔案。開啟後,MSTHML 引擎會運用 ActiveX 控制來執行含有混淆腳本的 HTML 檔案,接著下載惡意軟體有效載荷或遠端存取控制。
微軟指出,具有管理員權限的使用者比沒有或只有較少使用者權限的使用者更容易受到此類攻擊。
緩解措施與解決方案
微軟建議停用 Internet Explorer 中的所有 ActiveX 控制項安裝,有助於緩解目前的攻擊。您可以使用本機群組政策編輯器更新註冊表來設定群組政策。停用之後,新的 ActiveX 控制項將不會被安裝,而先前的 ActiveX 控制項則會繼續執行。
CDR™ 技術如何深度抵禦零時差攻擊
內容解除武裝與重建(CDR)技術有助於緩解此漏洞相關風險。Deep CDR™ 技術預設所有檔案皆具惡意,透過淨化與重建檔案元件,確保在安全內容下維持完整可用性。此技術能有效「解除武裝」所有基於檔案的威脅、複雜且具備沙箱感知能力的威脅,以及配備惡意軟體規避技術的威脅——例如完全無法偵測的惡意軟體或混淆技術。
在此情況下,Deep CDR™ 技術會從文件檔案中移除所有潛在威脅物件,例如 OLEObject 和 ActiveX。經由淨化處理後,該文件將不再包含惡意 HTML 連結。
MetaDefender Cloud到的威脅已被掃描,結果支援清除動作:
經過 sanitization 之後,結果顯示 OLEObject 已被移除,可以安全開啟檔案:
關於 Deep CDR™ 技術
Deep CDR™ 技術憑藉多層級檔案處理、精準檔案重建能力及支援逾百種檔案格式等卓越特性,成為市場領導者。本技術提供深度檢視功能,讓您清晰掌握正在進行的資料淨化內容與處理方式,從而做出明智決策並定義符合使用情境的配置。最終成果?毫秒內徹底清除100%威脅的安全檔案,確保您的工作流程不受中斷。
欲深入瞭解 Deep CDR™ 技術及OPSWAT 如何OPSWAT 您的組織OPSWAT ,請與我們的關鍵基礎設施網路安全專家洽談。
引用
[1] 「Microsoft MSHTML 遠端執行程式碼漏洞」。2021.微軟安全回應中心。https://msrc.microsoft.com/upd...
[2] 「微軟主動修補被利用的 MSHTML 零時差 RCE (CVE-2021-40444)」。2021 年 9 月 14 日。Help Net Security.https://www.helpnetsecurity.co...
