Microsoft исправляет ошибку нулевого дня в Windows CVE-2021-40444 MSHTML

30
Microsoft исправляет ошибку нулевого дня в Windows CVE-2021-40444 MSHTML

Сегодня Microsoft устранила уязвимость нулевого дня высокой степени серьезности, которая активно использовалась в целевых атаках на Microsoft Office и Office 365 на компьютерах с Windows 10.

Недостаток безопасности удаленного выполнения кода (RCE), отслеживаемый как CVE-2021-40444 , был обнаружен в движке рендеринга браузера MSHTML Internet Explorer, используемом документами Microsoft Office.

По данным Microsoft, CVE-2021-40444 влияет на Windows Server 2008 до 2019 и Windows 8.1 или новее и имеет уровень серьезности 8,8 из 10 возможных.

«Microsoft выпустила обновления безопасности для устранения этой уязвимости», – заявила компания сегодня в информационном сообщении, опубликованном в рамках вторника исправлений в этом месяце .

«Пожалуйста, просмотрите таблицу обновлений безопасности, чтобы найти подходящее обновление для вашей системы. Мы рекомендуем вам немедленно установить эти обновления».

Обновления безопасности, выпущенные после обхода встроенных средств защиты

Целевые атаки, обнаруженные Microsoft, пытались использовать уязвимость, отправляя потенциальным жертвам специально созданные документы Office с вредоносными элементами управления ActiveX.

К счастью, эти атаки были предотвращены, если Microsoft Office работал с конфигурацией по умолчанию, которая открывала ненадежные документы в режиме защищенного просмотра (или с помощью Application Guard для клиентов Office 365).

Однако, как позже сказал BleepingComputer аналитик уязвимостей CERT / CC Уилл Дорманн, эту встроенную защиту от эксплойтов CVE-2021-40444, скорее всего, обойдут либо пользователи, игнорирующие предупреждения Protected View, либо злоумышленники, доставляющие вредоносные документы, объединенные в архивы 7Zip или ISO. контейнеры.

Если документ находится в контейнере, который обрабатывается чем-то, что не знает MotW, то факт, что контейнер был загружен из Интернета, будет спорным. Например, если 7Zip открывает архив, полученный из Интернета, извлеченное содержимое не будет иметь никаких указаний на то, что оно было получено из Интернета. Так что ни MotW, ни защищенного просмотра.

Точно так же, если документ находится в контейнере, таком как файл ISO, пользователь Windows может просто дважды щелкнуть ISO, чтобы открыть его. Но Windows не считает, что содержимое получено из Интернета. Итак, опять же, нет MotW, нет защищенного просмотра.

Эта атака более опасна, чем макросы, потому что любая организация, которая решила отключить или иным образом ограничить выполнение макроса, по-прежнему будет открыта для выполнения произвольного кода просто в результате открытия документа Office. – Уилл Дорманн

Кроме того, Дорманн также обнаружил, что злоумышленники могут воспользоваться этой уязвимостью, используя злонамеренно созданные файлы RTF , которые не пользуются функцией безопасности Office Protected View.

Как применить обновления безопасности

Сегодняшние обновления безопасности по решению проблемы уязвимости для всех уязвимых версий Windows , и включают в себя Ежемесячную Rollup , в безопасности все обновление , и накопительное обновление для Internet Explorer .

«Клиенты, работающие под управлением Windows 8.1, Windows Server 2012 R2 или Windows Server 2012, могут применять либо ежемесячный накопительный пакет обновлений, либо накопительные обновления Security Only и IE», – сообщает Microsoft.

«Ежемесячный накопительный пакет для Windows 7, Windows Server 2008 R2 и Windows Server 2008 включает обновление для этой уязвимости. Клиентам, которые применяют ежемесячный накопительный пакет, не нужно применять накопительное обновление IE.

«Клиенты, которые применяют только обновления безопасности, должны также применить накопительное обновление IE для защиты от этой уязвимости».

BleepingComputer независимо подтвердил, что известные эксплойты CVE-2021-40444 больше не работают после применения сегодняшних исправлений.

Тем, кто не может сразу применить сегодняшние обновления безопасности, следует реализовать обходные пути Microsoft (отключение элементов управления ActiveX с помощью групповой политики и предварительный просмотр в проводнике Windows), чтобы уменьшить поверхность атаки.

 

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here