攻击者正在利用零日 RCE 漏洞来攻击 Windows 用户 (CVE-2021-40444)

微软警告称,攻击者正在利用 MSHTML(Internet Explorer 浏览器的主要 HTML 组件)中的零日远程代码执行漏洞 CVE-2021-40444,在“有限数量的针对性攻击”中危害 Windows/Office 用户周二。

CVE-2021-40444

关于 CVE-2021-40444 和攻击

CVE-2021-40444 是一组逻辑缺陷,远程、未经身份验证的攻击者可以利用这些缺陷在目标系统上执行代码。

微软、Mandiant 和 Expmon 的研究人员检测到了当前的攻击。后者表示他们已经可靠地重现了对 Windows 10 的攻击:

我们已经在 Windows 10(典型用户环境)上重现了对最新 Office 2019 / Office 365 的攻击,对于所有受影响的版本,请阅读 Microsoft 安全公告。该漏洞利用使用逻辑缺陷,因此漏洞利用完全可靠(且危险)。

— EXPMON (@EXPMON_) 2021 年 9 月 7 日

攻击者正在向目标投掷特制的 Microsoft Office 文档。

“攻击者可以制作恶意 ActiveX 控件,供托管浏览器渲染引擎的 Microsoft Office 文档使用。然后攻击者必须说服用户打开恶意文档,”微软 解释.

该公司还指出,“帐户配置为在系统上拥有较少用户权限的用户可能比使用管理用户权限操作的用户受到的影响更小”,并且 Microsoft Office 在受保护的视图或应用程序防护中打开来自 Internet 的文档。默认情况下,这可以防止当前的攻击。

不幸的是,用户经常被欺骗从不受信任的来源打开文档并退出受保护的视图。

为了实现这一点,受保护的视图还可以防止宏……这是安全行业中最大的恶意软件来源,因为 UI 中的“启用内容”会禁用它。

Application Guard for Office 是一项仅限 E5 的功能,默认情况下不用于打开文档。 pic.twitter.com/IiaCic9EWJ

— Kevin Beaumont (@GossiTheDog) 2021 年 9 月 7 日

在补丁发布之前,微软已建议管理员禁用 ActiveX 在 Internet Explorer 中以降低风险(有关如何操作的说明包含在 安全咨询).

“在这一点上,禁用 ActiveX 的影响应该很小,但当然,可能有个别企业应用程序仍在使用 ActiveX,” 著名的 SANS 技术研究所研究主任 Johannes Ullrich 博士。




分享这个