微軟於 2021 年 9 月 7 日證實 Windows 10 發生遠端程式碼執行 (RCE) 漏洞。此漏洞被歸類為 CVE-2021-40444 [1],可讓網路罪犯遠端控制被入侵的系統,並在野外製造零時差攻擊。
該缺陷存在於 Internet Explorer 中的瀏覽器呈現引擎 MSHTML 中。該引擎也用於 Microsoft Office 檔案中。目前已知 CVE-2021-40444 可用於傳送 Cobalt Strike 有效載荷 - 一個常被利用的威脅模擬架構。
EXPMON 的一位研究員在一條推文中首次發現了這個零時差漏洞,他說:「Office 用戶對 Office 檔案要格外謹慎」。他們已於 9 月 5 日(星期日)向微軟報告此事。微軟也在不久之後發布了安全諮詢,在公司調查的同時提出了一些解決方案。9 月 14 日,微軟修復了該漏洞 [2]。
攻擊者如何利用 CVE-2021-40444
網路罪犯可能會在 Microsoft Office 檔案(.docx)內製作惡意 ActiveX 控制項。此檔案會作為 MSTHML 瀏覽器渲染引擎和 OLEObject 的主機,而 OLEObject 則會指向所建立的網頁。
攻擊者必須欺騙目標開啟此檔案。開啟後,MSTHML 引擎會運用 ActiveX 控制來執行含有混淆腳本的 HTML 檔案,接著下載惡意軟體有效載荷或遠端存取控制。
微軟指出,具有管理員權限的使用者比沒有或只有較少使用者權限的使用者更容易受到此類攻擊。
緩解措施與解決方案
微軟建議停用 Internet Explorer 中的所有 ActiveX 控制項安裝,有助於緩解目前的攻擊。您可以使用本機群組政策編輯器更新註冊表來設定群組政策。停用之後,新的 ActiveX 控制項將不會被安裝,而先前的 ActiveX 控制項則會繼續執行。
Deep CDR 如何防禦零時差攻擊
內容解除與重建 (CDR) 可協助降低與此弱點相關的風險。 Deep CDR假設所有檔案都是惡意的,然後消毒並重建檔案元件,以確保安全內容的完整可用性。此技術可有效「解除」所有檔案型威脅、複雜和沙箱感知威脅,以及配備惡意軟體迴避技術 (例如完全偵測不到的惡意軟體或混淆) 的威脅。
在這種情況下,Deep CDR 技術會移除檔案檔案中所有潛在的威脅物件,例如 OLEObject 和 ActiveX。經過 sanitization 之後,檔案不再包含惡意 HTML 連結。
MetaDefender Cloud到的威脅已被掃描,結果支援清除動作:
經過 sanitization 之後,結果顯示 OLEObject 已被移除,可以安全開啟檔案:
關於Deep CDR
Deep CDR 技術是市場上的領導者,具有多層次歸檔處理、檔案再生的精確度,以及支援 100+ 檔案類型等優異功能。我們的技術提供深入的檢視,讓您瞭解哪些資料正在被清除,以及資料是如何被清除的,讓您能夠做出明智的選擇,並定義組態以符合您的使用個案。結果如何?在幾毫秒內消除 100% 威脅的安全檔案,因此您的工作流程不會中斷。
若要進一步瞭解Deep CDR 以及OPSWAT 如何保護您的組織,請與我們的關鍵基礎設施網路安全專家討論。
引用
[1] 「Microsoft MSHTML 遠端執行程式碼漏洞」。2021.微軟安全回應中心。https://msrc.microsoft.com/upd...
[2] 「微軟主動修補被利用的 MSHTML 零時差 RCE (CVE-2021-40444)」。2021 年 9 月 14 日。Help Net Security.https://www.helpnetsecurity.co...
