本文详细介绍了CVE-2021-40444漏洞,这是一个影响Windows IE MSHTML的远程代码执行漏洞,可通过恶意ActiveX控制在Office 365和Office 2019中利用。攻击者利用恶意Word文档在不受保护的Windows 10系统上执行恶意软件。尽管保护视图可以缓解,但用户可能忽视警告。微软发布了缓解措施,但安全研究人员已经找到了绕过方法。建议用户只打开来自可信源的附件。
9月7日,微软发布安全公告称发现Windows IE MSHTML中的一个远程代码执行漏洞,CVE编号为CVE-2021-40444。由于未发布漏洞补丁,微软只称该漏洞可以利用恶意ActiveX控制来利用office 365和office 2019来在受影响的Windows 10主机上下载和安装恶意软件。
随后,研究人员发现有攻击活动使用该恶意word文档,即该漏洞的0 day在野利用。
当office打开一个文档后,会检查是否标记为"Mark of the Web" (MoTW),这表示它来源于互联网。如果该标签存在,微软就会以只读模式打开该文档,除非用户点击启用编辑按钮。
保护视图打开的word文件
漏洞分析人员Will Dormann称保护视图特征可以缓解该漏洞利用,但Dormann称虽然保护视图特征可以预防该漏洞,但历史数据表明许多用户都会忽视该警告,并点击启用编辑按钮。
但也有很多的方式可以让一个文件不接受MoTW标签。如果文件在容器中,可能就不会意识到MotW的存在,比如7zip打开下载的压缩文件后,提取的文件就不会有来自互联网的标记。同样地,如果文件在ISO文件中,Windows用户可以双击ISO来打开它。但是Windows不会把其中的内容看做是来自互联网。
此外,Dormann还发现可以在RTF文件中利用该漏洞,RTF文件中没有office保护视图安全特征。
微软此前发布了环节措施来预防ActiveX来IE中运行,以拦截可能的攻击活动。但安全研究人员Kevin Beaumont已发现了绕过微软缓解措施的方法。
攻
最低0.47元/天 解锁文章
扫一扫
980
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
