记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【通告更新】已捕获相关定向攻击样本,Microsoft MSHTML远程代码执行漏洞安全风险通告第三次更新

2021-09-10 00:27

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到微软紧急发布Microsoft MSHTML 远程代码执行漏洞通告,漏洞编号为CVE-2021-40444。Microsoft MSHTML引擎存在远程代码执行漏洞,攻击者可通过制作带有恶意 ActiveX 控件的Microsoft Office文档并诱导用户打开此文档来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。目前,微软官方暂未发布针对此漏洞的补丁程序,鉴于此漏洞已被检测到在野利用且漏洞POC及EXP已公开,此漏洞的现实威胁进一步提升,建议受影响的客户尽快自查并采用措施缓解此漏洞。

本次更新内容:

奇安信红雨滴团队已经捕获3个鱼叉邮件样本,详情请查阅漏洞信息一章

奇安信产品线可防护此漏洞,详情请查阅产品解决方案一章





当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

已公开

已公开

已发现



漏洞描述

近日, 奇安信CERT监测到微软紧急发布Microsoft MSHTML 远程代码执行漏洞通告,漏洞编号为CVE-2021-40444。MSHTML(又称为Trident)是微软旗下的Internet Explorer 浏览器引擎,虽然 MHTML 主要用于已被弃用的 Internet Explorer 浏览器,但该组件也用于 Office 应用程序,以在 Word、Excel 或 PowerPoint 文档中呈现 Web 托管的内容。

 

Microsoft MSHTML引擎存在远程代码执行漏洞,攻击者可通过制作带有恶意 ActiveX 控件的Microsoft Office 文档并诱导用户打开此文档来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。

 

微软在通告中提到,Microsoft Defender Antivirus 和 Microsoft Defender for Endpoint 都为已知漏洞提供检测和保护。客户应及时更新反恶意软件产品。使用自动更新的客户无需采取额外措施。管理更新的企业客户应选择检测版本 1.349.22.0 或更高版本,并在其环境中部署它。Microsoft Defender for Endpoint 警报将显示为:“可疑的 Cpl 文件执行”。

 

CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞

漏洞名称

Microsoft MSHTML远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

重要

漏洞ID

CVE-2021-40444

公开状态

已公开

在野利用

已发现

漏洞描述

Microsoft MSHTML引擎存在远程代码执行漏洞,攻击者可通过制作带有恶意 ActiveX 控件的Microsoft Office 文档并诱导用户打开此文档来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。

参考链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444


奇安信红雨滴团队已捕获相关样本,以下为POC验证截图:


奇安信红雨滴团队已经捕获3个鱼叉邮件样本,这些鱼叉邮件利用该漏洞实施定向攻击。建议用户做好防范,不要打开来历不明的网页或电子邮件附件,并且尽量在受保护视图中查阅来自 Internet 的文档:


目前,此漏洞已被检测到在野利用且POC及EXP已公开,奇安信红雨滴团队已捕获相关定向攻击样本,其现实威胁进一步提升。由于微软官方暂未发布针对此漏洞的补丁程序,建议采取处置建议章节中提到的措施暂时缓解此漏洞。另外,奇安信产品线已支持此漏洞的防护,详情请查阅产品解决方案章节,建议客户尽快升级安全产品。



险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)


影响范围

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server, version 2004 (Server Core installation)

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems



处置建议

目前微软官方并未发布针对此漏洞的补丁程序,在 Internet Explorer 中禁用所有 ActiveX 控件的安装可以缓解这种攻击。这可以通过更新注册表为所有站点完成。使用此方法先前安装的 ActiveX 控件将继续运行,不会触发此漏洞。

警告:如果注册表编辑器使用不当,可能会导致严重的问题,可能需要重新安装操作系统。建议做好备份再执行以下操作:


  • 使用注册表文件禁用 ActiveX 控件:

1、将以下内容粘贴到文本文件中并使用 .reg 文件扩展名保存:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1001"=dword:00000003"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]"1001"=dword:00000003"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]"1001"=dword:00000003"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]"1001"=dword:00000003"1004"=dword:00000003

2、双击 .reg 文件以将其应用到您的策略配置单元。

3、重新启动系统以确保应用新配置。

注:这会将 64 位和 32 位进程的所有 Internet 区域的URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) 和 URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) 设置为 DISABLED (3)。不会安装新的 ActiveX 控件。以前安装的 ActiveX 控件将继续运行。


  • 撤销缓解措施:

删除在采用此缓解措施时添加的注册表项。



产品解决方案

奇安信天擎终端安全管理系统

奇安信天擎终端安全管理系统解决方案:目前针对Microsoft MSHTML 远程代码执行漏洞CVE-2021-40444已知POC已经验证,V6和V10版本均支持拦截。同时对已经出现的样本均已支持检出。

一、针对利用样本,均已经支持病毒扫描检出

检出病毒名称为:Exploit.Win32.CVE-2021-40444.A。

可以连互联网的终端可以将云查模式修改成”直接连接公有云鉴定中心”,即可实时检出,得到更快的响应效果。

对于无法连接公有云的终端,请将病毒库更新到2021.09.09.0800以后版本即可检出。并保持病毒更新最新版本,后续新增样本我们会及时更新到病毒库中。


二、针对漏洞攻击行为已经支持拦截

针对可以连接互联网的终端,将云查模式修改为“直接连接公有云鉴定中心”即可实现对该漏洞的拦截。

1、天擎V10版本拦截效果:
直接连接公有云配置:

拦截效果如下:


2、天擎V6版本拦截设置以及效果:
直接连接公有云配置:

拦截效果如下:


奇安信天狗漏洞攻击防护系统

基于天狗引擎的“奇安信天狗漏洞攻击防护系统”,是奇安信打造的全新一代安全防护产品,主要解决漏洞攻击问题,包括已知和未知漏洞(0day)。该产品摆脱了对文件、流量、数据、行为等特征的依赖,采用内存指令控制流检测技术,实时检测安全事件,从系统更底层发现漏洞攻击代码的执行,在全球处于领先地位。

奇安信天狗漏洞攻击防护产品,通过内存指令序列的检查,能对未知威胁进行发现和阻止,以下是针对Microsoft MSHTML 远程代码执行漏洞(CVE-2021-40444)告警截图:


奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本将于9月10日发布入侵防御规则库2021.09.10版本,支持对Microsoft MSHTML 远程代码执行漏洞(CVE-2021-40444)的防护,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台将于9月10日发布入侵防御规则库10410版本,支持对Microsoft MSHTML 远程代码执行漏洞(CVE-2021-40444)的防护,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:6878,建议用户尽快升级检测规则库至2109091815以后版本并启用该检测规则。


奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0909.13034上版本。规则名称:Microsoft MSHTML 远程代码执行漏洞(CVE-2021-40444),规则ID:0x10020DE6。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。



参考资料

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444


时间线

2021年9月8日,奇安信 CERT发布安全风险通告

2021年9月9日,奇安信 CERT发布安全风险通告第二次更新

2021年9月10日,奇安信 CERT发布安全风险通告第三次更新


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情






奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓


知识来源: https://mp.weixin.qq.com/s?__biz=MzU5NDgxODU1MQ==&mid=2247494717&idx=1&sn=2aeadc2ff9c8ece29d0e6a3739c1c150

阅读:28555 | 评论:0 | 标签:漏洞 攻击 远程 执行 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“【通告更新】已捕获相关定向攻击样本,Microsoft MSHTML远程代码执行漏洞安全风险通告第三次更新”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云