漏洞说明 Microsoft正在调查有关MSHTML中影响MicrosoftWindows的远程代码执行漏洞的报告。Microsoft知道有针对性的攻击试图通过特制的MicrosoftOffice文档利用此漏洞。 攻击者可以制作一个恶意的ActiveX控件,该控件由托管浏览器呈现引擎的MicrosoftOffice文档使用。然后攻击者必须诱使用户打开这个恶意文件。在系统上配置了较少用户权限的用户帐户比具有管理员权限的用户帐户受到的影响更小。 MicrosoftDefenderAntivirus和MicrosoftDefenderforEndpoint都提供了检测和防范已知漏洞的功能。客户应保持反恶意软件产品为最新。使用自动更新的客户不需要采取额外的行动。管理更新的企业客户应选择检测版本1.349.22.0或更高版本以跨用户环境部署。MicrosoftDefenderforEndpoint警报将显示为:“可疑的Cpl文件执行”。 完成此调查后,Microsoft将采取适当的措施来帮助保护客户。这可能包括通过每月发布流程或偶尔根据客户需求提供安全更新。 请参阅缓解措施和变通办法部分,了解有关保护您的系统免受此漏洞影响的措施的重要信息。 2021年9月14日更新:微软发布了一个安全更新来解决这个漏洞。有关适用于您系统的更新,请参阅安全更新表。我们建议您立即安装这些更新。有关适用于您的系统的重要信息,请参阅常见问题解答。 解决方法 禁用InternetExplorer中的所有ActiveX控件可减轻此攻击。通过使用本地组策略编辑器配置组策略或更新注册表,可以在所有站点上完成此操作。以前安装的ActiveX控件将继续运行,但不受此漏洞的影响。 通过组策略禁用ActiveX控件。 在组策略设置中,导航至计算机配置>管理模板>Windows组件>InternetExplorer>Internet控制面板>安全页面 对于每个区域:选择区域(Int??ernet区域、Intranet区域、本地计算机区域或受信任的区域)站点区域)。双击下载已签名的ActiveX控件并启用该策略。然后将策略中的选项设置为禁用。双击以下载未签名的ActiveX控件并启用该策略。然后将策略中的选项设置为禁用。 我们建议将此设置应用到所有区域以全面保护您的系统。 变通办法的影响。 这会将所有64位和32位进程的Internet区域的URLACTION_DOWNLOAD_SIGNED_ACTIVEX(0x1001)和URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX(0x1004)设置为禁用(3)。不会安装新的ActiveX控件。以前安装的ActiveX控件将继续工作。 在单个系统上通过RegKey禁用ActiveX控件: 警告如果注册表编辑器使用不当可能会出现严重问题(您可能需要重新安装操作系统)。Microsoft不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器的风险由您自行承担。要在所有区域禁用InternetExplorer中的ActiveX控件安装,请将以下内容粘贴到文本文件中并使用.reg文件扩展名保存它:WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\1]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\2]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\CurrentVersion\Zones3]"1001"=dword:00000003"1004"=dword:00000003双击.reg文件将其应用到您的策略配置单元。重新启动系统以确保应用新配置。 变通办法的影响。 这会将所有64位和32位进程的Internet区域的URLACTION_DOWNLOAD_SIGNED_ACTIVEX(0x1001)和URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX(0x1004)设置为禁用(3)。不会安装新的ActiveX控件。以前安装的ActiveX控件将继续工作。 如何撤消解决方法 删除之前在实施解决方法期间添加的注册表项。 在Windows资源管理器中禁用预览 禁用Shell预览会阻止用户在Windows资源管理器中预览文档。对于要阻止预览的每种类型的文档,请执行以下步骤:在注册表编辑器中,导航到相应的注册表项: 对于Word文档:HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f} 对于多格式文本文件:HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}导出RegKey的副本进行备份。双击名称,然后在“编辑字符串”对话框中,删除“数值数据”。单击确定。 变通办法的影响 用户将无法在Windows资源管理器中预览文档。 如何撤消解决方法 双击您在解决方法第二步中创建的.reg文件。 FAQ 安全更新表中提供了三类适用于Windows8.1、WindowsServer2012R2和WindowsServer2012的更新。我需要在我的系统上安装哪些更新才能免受此漏洞的影响? 运行Windows8.1、WindowsServer2012R2或WindowsServer2012的客户可以应用以下选项之一:仅IE的月度汇总或安全更新和累积更新。 我正在运行Windows7、WindowsServer2008R2或WindowsServer2008。我是否需要应用月度汇总和IE累积更新?此漏洞的更新包含在Windows7、WindowsServer2008R2和WindowsServer2008月度汇总中。应用月度汇总的客户不再需要应用IE累积更新。仅应用了仅安全更新的客户还需要应用IE累积更新以免受此漏洞的影响。 CVE-2021-40444PoC ??项目地址: GitHub:github.com/lockedbyte/CVE-2021-40444 CVE-2021-40444(MicrosoftOfficeWord远程代码执行)恶意docx生成 这个脚本是基于一些在野外使用的示例的逆向工程创建的:938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52(docx文件) 您需要先安装lcab(sudoapt-getinstalllcab)sudoapt-getinstalllcabsudobPROCEDU-get.恶意docx(将位于out/)使用在调用python3exploit.pygeneratetest/calc.dll时从test/calc.dll弹出calc.exesystem()http://
