[[423097]]

研究人員發現Windows MSHTML 0day漏洞利用，微軟發布預防措施。

近日，多個安全研究人員向微軟分別報告了MSHTML中的一個0 day遠程代碼執行漏洞。并發現了該漏洞的在野利用攻擊活動。

MSHTML是Windows中用來渲染web頁面的軟件組件。雖然主要與IE相關，但也用于其他版本，包括Skype、Outlook、Visual Studio等。

CVE-2021-40444

研究人員在MSHTML中發現的0 day漏洞CVE編號為CVE-2021-40444，cvss評分為8.8分。由于MSHTML 是IE的核心之一，該漏洞也存在于IE瀏覽器中。攻擊依賴于受害者打開一個惡意office文件時，MSHTML加載一個精心偽造的ActiveX控件。加載的ActiveX 控件可以運行任意代碼來感染系統。所以攻擊者需要誘使受害者打開惡意文檔。由于沒有發布補丁，關于漏洞的更多技術細節尚未公開。

修復措施

目前，所有支持的Windows版本都受到該漏洞的影響，而且微軟發現有利于該漏洞的在野攻擊，但目前還沒有補丁，因此微軟提出多種方法來攔截相關的攻擊活動。

◼通過注冊表禁用所有ActiveX 控件的安裝。之前安裝的ActiveX 控件仍然可以運行，但是不會再新增控件。禁用ActiveX 控件的方式如下，復制一下內容到文本文件中，并保存為.reg文件擴展：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 
"1001"=dword:00000003 
"1004"=dword:00000003 
  
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 
"1001"=dword:00000003 
"1004"=dword:00000003 
  
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 
"1001"=dword:00000003 
"1004"=dword:00000003 
  
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 
"1001"=dword:00000003 
"1004"=dword:00000003 

• 雙擊.reg文件并應用到策略庫中;
• 重啟系統來確保新配置生效。

◼從IE保護視圖或office應用保護功能打開文檔，這兩種方式都是默認設置，且都可以預防該攻擊，但默認設置可能被修改了。

本文翻譯自:https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/09/windows-mshtml-zero-day-actively-exploited-mitigations-required/如若轉載，請注明原文地址。