记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【二次通告】Microsoft MSHTML 远程代码执行漏洞 CVE-2021-40444

2021-09-09 21:46

漏洞名称 Microsoft MSHTML远程代码执行漏洞 CVE-2021-40444

组件名称 : Microsoft MSHTML

影响范围 :

Windows 7 for 32/x64-based Systems Service Pack 1

Windows RT 8.1

Windows 8.1/10 for 32/x64-based Systems

Windows 10 Version 1607 for 32/x64-based Systems

Windows 10 Version 2004/1809/1909/20H2/21H1 for 32/x64/ARM64-based Systems

Windows Server 2012/2012 R2/2016/2022

Windows Server 2008 R2 for x64-based Systems Service Pack 1/2

Windows Server 2004/2012/2012 R2/2016/2019/20H2/2022 (Server Core installation)

漏洞类型 远程代码执行

利用条件 :

1、用户认证:不需要用户认证

2、触发方式:远程

综合评价 :

<综合评定利用难度>:未知。

<综合评定威胁等级>:高危,能造成远程代码执行。


漏洞分析


组件介绍

    MSHTML 是微软的窗口操作系统(Windows)搭载的网页浏览器—Internet Explorer的排版引擎的名称。MSHTML是微软公司的一个COM组件,该组件封装了HTML语言中的所有元素及其属性,通过其提供的标准接口,可以访问指定网页的所有元素。ActiveX控件是微软公司的COM架构下单产物。其在Windows操作系统中应用广泛,Windows中的Office套件,IE浏览器等产品中有广泛应用。通过ActiveX控件可以与微软的MSHTML组件进行交互。



2 漏洞描述

    今日,深信服安全团队监测到一则Microsoft MSHTML组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2021-40444,漏洞威胁等级:高危。

    该漏洞的是由于组件自身缺陷而引起的,攻击者可利用该漏洞,通过构造恶意的Office文档发送给被攻击方,最终导致远程代码执行。


影响范围


    微软ActiveX控件是微软公司的COM架构下单产物。其在Windows操作系统中应用广泛,Windows中的Office套件,IE浏览器等产品中有广泛应用。通过ActiveX控件可以与微软的MSHTML组件进行交互,从而引起安全问题。Windows作为全球安装用户量最大的操作系统,使用范围遍及世界各地,涉及用户量多,导致该漏洞的危害等级较高。

    目前受影响的版本:

Windows 7 for 32/x64-based Systems Service Pack 1

Windows RT 8.1

Windows 8.1/10 for 32/x64-based Systems

Windows 10 Version 1607 for 32/x64-based Systems

Windows 10 Version 2004/1809/1909/20H2/21H1 for 32/x64/ARM64-based Systems

Windows Server 2012/2012 R2/2016/2022

Windows Server 2008 R2 for x64-based Systems Service Pack 1/2

Windows Server 2004/2012/2012 R2/2016/2019/20H2/2022 (Server Core installation)



解决方案


1 临时修复建议

    当前官方已发布临时修复方案

1、创建一个.reg类型的文件,并写入如下内容:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1001"=dword:00000003

"1004"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]

"1001"=dword:00000003

"1004"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]

"1001"=dword:00000003

"1004"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

"1001"=dword:00000003

"1004"=dword:00000003

2、保存并双击该文件。

3、重启操作系统

2 深信服解决方案

深信服下一代防火墙AF】可防御此漏洞,建议用户将深信服下一代防火墙开启 IPS 防护策略,并更新最新安全防护规则,即可轻松抵御此高危风险。

深信服安全感知管理平台SIP】结合云端实时热点高危/紧急漏洞信息,可快速检出业务场景下的该漏洞,并可联动【深信服下一代防火墙等产品】实现对攻击者IP的封堵。



时间轴


2021/9/8    深信服监测到Microsoft MSHTML远程代码执行漏洞攻击信息。

2021/9/8    深信服千里目安全实验室发布漏洞通告和解决方案。

2021/9/9    深信服千里目安全实验室发布二次通告和解决方案。



参考链接


    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444




点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。


深信服千里目安全实验室

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们




知识来源: https://mp.weixin.qq.com/s?__biz=MzI4NjE2NjgxMQ==&mid=2650255345&idx=1&sn=08f0252b0572eae2c7c58331fcef10c3

阅读:22167 | 评论:0 | 标签:漏洞 CVE 远程 执行

想收藏或者和大家分享这篇好文章→复制链接地址

“【二次通告】Microsoft MSHTML 远程代码执行漏洞 CVE-2021-40444”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云