微软安全团队发布的最新预警称,有黑客正在利用IE浏览器漏洞制作特定的AX控件向Microsoft Office发起攻击。
此次漏洞并非微软办公套件里存在的,而是IE浏览器内核MSHTML引擎(三叉戟)存在的漏洞遭到黑客的恶意利用。
然而微软办公套件仍然依赖 MSHTML 引擎进行某些网络内容渲染 , 因此攻击者可以利用恶意文档诱导用户加载。
研究人员称利用此漏洞需要经过非常复杂的步骤,但目前尚不清楚已经利用此漏洞的黑客是否在发起针对性攻击。
ActiveX控件引发的漏洞:
此次漏洞的攻击流程是这样的:攻击者制作恶意 AX 控件放在文档里,然后将文档发送给目标用户诱导用户加载。
当用户点击编辑文档时 AX 控件会被默认加载并连接攻击者的远程页面,随后就可以加载更多恶意代码展开攻击。
微软在公告中威胁者使用 CPL 文件执行的技巧完成攻击 , 而研究人员表示此攻击方法可靠度为100%危害度极高。
所以研究人员发现漏洞后立即向微软报告,微软安全团队随后排查并确认漏洞然后着手发布公告并升级在线服务。
所以诸如Microsoft Office 365及使用 Microsoft Defender 端点防护的企业已经可以通过微软自动拦截此攻击。
而其他用户则需要提高警惕最好使用微软提供的缓解措施来解决此漏洞,直到微软发布安全更新彻底封堵此漏洞。
缓解方法就是禁用AX控件:
研究人员经测试已验证在 Windows 7~Windows 10 上的Office 365和Office 2019等软件和系统均受漏洞影响。
若用户已经在Microsoft Defender启动应用程序防护功能则Office 365可受保护 , 在线版微软直接服务器上阻止。
其他版本则需要用户手动通过注册表将IE 浏览器的AX控件禁用,只要禁用此功能攻击者就无法利用AX触发漏洞。
Windows 11 用户可以直接忽略此漏洞,因为此版本已经不再预装IE浏览器所以免疫,不需要执行任何额外操作。
请不要通过手动编辑IE设置来禁用 AX 控件,这种操作方法可靠度不够,建议使用以下注册表直接彻底执行禁用。
制作并导入注册表禁用AX:
你可以复制以下代码到记事本里新建并将其后缀改为reg然后合并到注册表,亦可直接下载蓝点网做好的注册表。
CVE-2021-40444号漏洞缓解注册表:https://dl.lancdn.com/landian/Regedit/禁用AX/ 下载后双击合并导入
如果微软后续修复漏洞而你需要解除禁用,只需按照以下注册表路径挨个删除此次新增的项或键值即可无需重启
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/1] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/2] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/1] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/2] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE/SOFTWARE/Policies/WOW6432Node/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3] "1001"=dword:00000003 "1004"=dword:00000003
原创文章,作者:Maggie-Hunter,如若转载,请注明出处:https://blog.ytso.com/147564.html