首页保安Windows MSHTML 零日漏洞:漏洞已泄露到黑客论坛

Windows MSHTML 零日漏洞:漏洞已泄露到黑客论坛

网络犯罪分子份额 教程 και 功勋 为了 Windows MSHTML 零日漏洞 (CVE-2021-40444), 在黑客论坛中,使其他黑客能够开始利用新漏洞。

另见: Microsoft 已修复 Azure 容器实例中的一个漏洞

Windows MSHTML 零日

上周, 微软 揭示了一个新的零日漏洞 Windows MSHTML。 漏洞允许攻击者 创建恶意文件, Office 和 RTF 文件, 执行 远程在受害者的计算机上执行命令。

该错误的安全更新尚不可用 CVE-2021-40444. 该服务发现了零日漏洞 EXPMON 和保安公司 美国麦迪安网络安全公司 微软决定公开该漏洞并给出一些防止其被利用的提示。

为了避免一个可能的 攻击, 应该 在 Windows 资源管理器中阻止 ActiveX 控件和 Word/RTF 文档的预览。

Windows MSHTML 零日漏洞:在黑客论坛上发布的驱动程序和 PoC

当 Microsoft 首次发现 Windows MSHTML 中的零日漏洞 (CVE-2021-40444) 时,安全研究人员很快就发现了用于攻击的恶意文档。

调查人员能够复制攻击并修改漏洞利用以获得进一步的可能性,但没有透露详细信息以防止其他网络犯罪分子利用它们。

另见: 新的 DNS 漏洞允许“国家级间谍活动”

不幸的是,攻击者设法自己复制了这个漏洞,恶意文档样本连同教程和 PoC 一起发布在互联网上。

自从上周以来, 犯罪分子开始共享有关漏洞利用的 HTML 组件以及如何创建恶意文档的信息。 周五,发布了更多说明 创建负载和包含路径遍历漏洞组件的 CAB 文件.

Windows MSHTML 零日漏洞利用

周六,随着调查人员开始在 Github 和 Twitter 上发布更多细节,犯罪分子分享了更多关于 如何创建漏洞利用的各个方面。

该信息很简单,任何人都可以创建自己的零日漏洞 CVE-2021-40444 的工作版本,包括用于分发恶意文档和 CAB 文件的 Python 服务器。

Windows MSHTML 零日: 防御

幸运的是,在这种情况下有好消息。 从漏洞曝光开始, Microsoft Defender 和其他安全程序可以检测并阻止此攻击中使用的恶意文档和 CAB 文件。

微软还给出了以下说明 在 Internet Explorer 中阻止 ActiveX 控件 在 Windows 资源管理器中的文档中预览。

另见: Windows 更新:如果您的 PC 可以运行 Windows 11,是否进行更新?

停用 中的 ActiveX 控件 互联网浏览器

请遵循以下步骤:

打开记事本并将以下文本粘贴到文本文件中。 然后将文件另存为 disable-activex.reg。 确保您启用了文件扩展名以正确创建注册表文件。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003

找到新创建的 禁用-activex.reg 并双击它。 当出现 UAC 消息时,单击“是”按钮以输入注册表项。

做吧 重新开始 在您的计算机上应用新配置。

重新启动后,ActiveX 控件 将在 Internet Explorer 中被禁用。

您可以通过删除上述注册表项来重新启用 ActiveX 控件。

禁用 Windows 资源管理器中的文档预览

安全研究人员还发现,Windows MSHTML 零日漏洞可被利用 使用预览功能查看恶意文档。

为此,微软还建议在 RTF 和 Word 文档中禁用预览。

在注册表编辑器 (regedit.exe) 中,转到相应的注册表项:

对于 Word 文档:

  • HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  • HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  • HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}

对于 RTF 文档:

  • HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}

导出注册表项的副本作为备份。

现在双击 Name 并删除 Edit String 对话框中的 Value Data。

单击确定。

现在在 Windows 资源管理器中禁用预览。

这两项措施将有助于防止攻击。 然而,用户 在官方安全更新发布之前,它们仍然处于危险之中。

资料来源:Bleeping Computer

数字要塞https://www.secnews.gr
追求梦想与生活!
spot_img

实时新闻